Цитата |
---|
odip пишет: Тут неточность: чтобы писать в HKLM не обязательно нужны права админа, можно подправить права в этой ветке реестра для обычных пользователей и программа будет работать под обычным пользователем. |
15.01.2006 00:19:08
edwin, 14.01.2006 19:50:07
Сергей Леонтьев пишет: Хм. Ну-ну, давай проверим, предложи методы конфигурации Unix/*BSD/Linux - блокирующие троянов или spyware? Да очень просто. Мы может укзать четко какие программы доступны пользователю, какие он может запускать, куда может писать. Переменные окружения замораживаются. И все .. даже если к примеру в неком приложении нашлась дырка, и сработал експлоит, то он НИЧЕГО не сможет сделать. А почему ? А потому что явно указано какие программы МОЖНО запускать. А делается это очень просто: ACL + установка нормальных переменных окружения + замораживание переменных окружения. P.S. Если мы чего-то не умеем, то не надо говорить что этого нет вообще на свете. пиричетай статтю а конкретно место гда описано поведение файрвола в случае, если приложение не из его списка. Он просто ПРОПУСКАЕТ ЕГО В СЕТЬ! и не может даже понять, что его имеют в данный момент |
|
|
|
15.01.2006 00:30:07
Интерестно, а что скажет edwin если я получу список доверенных приложений и если приложение соеденяется по 80 порту (dest addr) и подменю характеристики по которым фаервол определяет этот процесс?
|
|
|
|
15.01.2006 04:24:47
Винамп же кстати совершенно необязательно писать в Prog files, можно ставить в спец созданную директорию, можно поставить под опытным или админом и порулить правами на запись, если уж захотелось в Prog files его вляпать, вобщем много чего можно придумать, ну а что не приходится обрабатывать напильником под себя в этой жизни?? В конце концов им можно просто не пользоваться. |
|||
|
|
15.01.2006 14:36:22
Внимание! Правильный ответ, точнее его начало для некоторых версий Linux: iptables -A OUTPUT -m owner --cmd-owner perl -j LOCALHOST_ONLY iptables -A OUTPUT -m owner --cmd-owner curl -j LOCALNETWORK_ONLY iptables -A OUTPUT -m owner --cmd-owner firefox-bin -j INTERNET ... Однако замечу несколько очевидных фактов:
P.S.
Троян, который уже начал работать, получил административные привилегии, стал драйвером или попал в ядро ОС, сможет достаточно просто деактивировать любой персональный МЭ или антивирус. Так что, называть это "дыркой" не совсем корректно. А вот 20 секунд перед выключением - это, несомненно, ДЫРКА. |
|||||||||||
|
|
15.01.2006 14:45:07
Да, если есть возможность запустить драйвер, то это не дырка.
Дырка вот она - |
|
|
|
15.01.2006 17:10:02
Я давно пользуюсь этим фаирволом и настраивается он достаточно просто. Главное знать свою сеть и что должно там работать а что нет. А атаки рубит на корню. Моё мнение такое, Лучше Outpost может быть только выдернутый шнурок из компьютера.
|
|
|
|
15.01.2006 17:20:46
|
|||
|
|
15.01.2006 20:13:55
Мда нормально так... |
|||||||||||
|
|
15.01.2006 21:20:32
Не понимаю я таких "пионеров", Я Я Я. Как говорится иногда лучше жевать чем говорить, да заодно почитай о чем тут умные дядьки рассуждают. Фразы типа аутпост труден в настройке, ну так приводите конкретные примеры ЧТО именно там сложно настроить. Может компьютер за вас должен подумать решить, этакий телепат, зачем тогда нужны ВЫ ? По теме, статья интересна, хотя и не лишена "воды". Слабенький вывод,в се же сравнения как такого небыла, хотя и было бы интересно его увидеть. Надеюсь автор сделает в дальнейшем продолжения этой статьи. Как обычно все сказанное ИМХо |
|||
|
|
15.01.2006 21:48:08
- хотя и не лишена "воды"
Дело в том, что тут не ясно, если я стану писать только тех. данные, то появятся такие коментарии Чегой-то заумного понаписано Все таки не все же специалисты в этой области, мне кажется нужно соблюсти золотую середину. Слабенький вывод согласен на 100% сравнения как такого небыла Ну почему всем нужно сравнение? Вот начну сравнивать 2 или 3 фаервола, один из них, на общем фоне будет блеклым, станет казаться, что я рекламирую какой-то фаервол. Лучше же писать про всех негативно, а выводы пусть читатели сами делают. Насчет продолжения стоит подумать. Было бы интересно, что читатели желают там видеть? |
|
|
|
16.01.2006 00:24:11
kumbayo, был бы рад прочитать подобный "разбор полетов" для Kerio Personal Firewall. Спасибо за статью!
|
|
|
|
16.01.2006 01:20:14
Петр Мандрыкин, 13.01.2006 02:33:30
Честно говоря, не совсем понимаю, неужели существует такой файрвол, кот не имеет дырок и кот нельзя обойти! В таком случае ИМЯ ЕГО НА СЦЕНУ! Что касается своего скромного опыта - 3 года с Outpost + AVP = достаточно спокойное существование на просторах Сети и локалки, включая частое нахождение на сайтах вроде astalavista.box.sk , где при неосторожном обращении, на мой (очень скромный в этой сфере ) взгляд, достаточно легко подцепить всякую дрянь. Если на взгляд более сведущих есть способоы, сохраняя производительность компа поднять уровень защиты, я очень буду рад их выслушать! З.Ы. Но только не предложения дружить с *nix - наша дружба как-то сильно хромает... |
|||
|
|
16.01.2006 08:36:14
man iptables учи матчасть...меня бесят подобные высказывания я представляю себе как работает иптаблес.... да я тоже себе представляю как билгейцу круто живется....но представлять как я плаваю в бассейне и плавать в нём это разные вещи. далее есть чудные вещи такие как SeLinux AppArmor и всё это опенсорс.. и как написано выше люди не стесняются выкладывать свой код... мне больше всего не нравится что люди которые хаят линукс по сути никогда в нём не сидели...и "ПРЕДСТАВЛЯЮТ" о том как оно примерно всё происходит.....да там совершенно другая концепция и подход ко всему.. прежде чем говорить иптаблес не пользовательский файрвол...нужно хотябы ЗНАТЬ и уметь им пользоватся.... |
|||
|
|
16.01.2006 08:39:00
в догонку моему предыдущему посту. SeLinux + ядра монолит никто не изменял...я могу дать доступ ССАШ рута...под которым ты НИЧЕГО не сможешь сделать...абсолютно ничего тоесть uid gid =0 но изменить что либо у тебя не получится.... учитесь г.н kumbayo |
|||
|
|
16.01.2006 08:42:11
iptables давно умеет работать с конкретными софтинами тоесть вопрос перла и курла с файрфоксом отпадает быстро...если нужно могу кинуть как это делается. насчет бастионов неприступных смотреть пост выше о SeLinux |
|||
|
|
16.01.2006 08:45:55
ну ёпте папте ну чё вы умные все такие.. только не летаете... ну что ты подменишь то? ну ёпрст....ты хоть линукс вобще вживую видел хоть раз? чтоб подменить тебе характеристики тебе нужно иметь доступ к стуктурам ядра...его можно получить либо используя уязвимость ядра либо своим собственным модулем.... защищаются от этого grSecurity и SeLinux от второго сборкой ядра монолитом. |
|||
|
|
16.01.2006 10:03:03
эй гость, который SeLinux, давай ты не будешь пи..деть а где нибудь тут в статье на секлабе, покажешь всю мощь этого нихрена (КОНЕЧНО ЖЕ) непробиваемого ФВ этого неизвестного дистра?? Общественность вводные обсосёт, переварит, кАмметны последуют. Пока что твои посты больше смахивают на абсолютно необоснованный гундеж - никакой конкретики, никаких примеров настройки.
|
|
|
|
16.01.2006 10:22:09
насчет бсод кстати дело в конкретных версиях аутпоста, есть и абсолютно устойчивые - другое дело что обновляют версию редко - ну это уже проблемы юзеря. Ищите (безглючную версию) и обрящете! Дааа! и не забывайте, если уж вы его в виде вареза получили - имейте совесть, купите сначала получите бсод, отпишитесь создателем и получите наконец какчественный продукт без Вашего глюка.
|
|
|
|
16.01.2006 10:40:32
есть у меня один друг, он любит писать программы локальных дозеров:
запустил программу - повесил комп. в данном случае приведено тоже самое. вы мне покажите хоть одну программу, которая бы качественно защищала свое адресное пространство. Да еще и адресное пространство ядра операционной системы. мне кажется, что данный баг - баг не аутпоста, а винды, раз уж она разрешает перехватывать системные недокументированные функции. Статью я прочитал, ржал.... давайте мы все будем находить такие дыры в программном обеспечении. вы знаете, былоб еще проще в одном месте поменять условный переход на безусловный... лажа полная! при чем здесь уязвимость фаервола? если есть доступ к памяти ядра, никто не будет париться насчет установленного фаервола... бред какой-то.... завтра появятся статьи типа: "КРИТИЧЕСКАЯ УЯЗВИМОСТЬ ВО ВСЕХ АНТИВИРУСАХ" - администратор локальной машины может установить драйвер, прекращаяющий работу антивируса... или даже так: "КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ВО ВСЕХ ОПЕРАЦИОННЫХ СИСТЕМАХ", локальный пользователь может нарушить работу операционной системы за счет выключения питания, при определенных условиях. автор, извините, статья не стоит выеденного яйца.... хотя за проделанный анализ и дизассемблирование стоит поблагадарить, хотя и это никаому нужно не было. |
||||
|
|
|||