Вах!

Научите меня пожалуста заперетить пользователю на любой операционной системе что-то сносить при наличии у него физического доступа к машине. Без ремня в рукаве и соболя в кармане.

>софт/железо CA управляются специально обученными >людьми из СБ, а не из асуизации.

Согласен.
Но если сами люди из СБ оч. хотять ццл трафик
просматривать?


>- Вменяемый юзер всегда может ткнуть на свойства >соединения и посмотреть на сертификат.

Может. Но перед этим вообще-то он должен подписать бамашку, где написано что он в трезвом уме и здравой памяти согласен с тем что его рабочий траффик ему не пренадлежит [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

2 Luka:
Я-я, серверный сенсор! Каждому пользователю по IDS на машину и пускай она проксирует этот трафик системе фильтрации контента? Или каждая машина будет сама свой SSL трафик контролировать? А пользователь берет - и сносит этот серверный сенсор с своей машины, что бы не тормозил.

Именно так. Только сертификат выдает не тот же CA, который выдал изначальный сертификат для Web сервера, а наш, корпоративный. Ему наши пользователи так же доверяют (это несложно сделать, особенно в среде AD).
Раздает он ключи не направо-налево, а только для нашего прокси. Кроме того, я предлагаю использовать не корневой, а подчиненный CA, что бы в случае ахтунга (компрометации закрытого ключа) его было просто засунуть в CRL.
Коммерческий (серьезный) CA можно использовать для получения сертификата корневого (ROOT-CA в тексте). И он выдаст только один сертификат, для CF-CA, который и будет заниматся выдачей промежуточных сертификатов.

А можно я тожа?

Как два Каспера на одну Софу навалились

Производственный фарс в 3х бутылках пива.

Действующие лица:
Программист: скромный молодой человек среднего роста и приятной наружности.
Софа: Программа, работающая со шлюзом через UNC.
Шлюз: программа шлюзования, полная самомнения и чувства собственного достоинства.
Первый Каспер: антивирус Касперского стоящий на сервере с Софой.
Второй Каспер: антивирус Касперского стоящий на сервере со Шлюзом.
Смена: Испуганная женщина лет 40-ка.
Телефон: Мерзкий белый кусок пластмассы.
Админ: довольная ряха.

Бутылка первая

Длинный коридор многокомнатной панельной квартиры. Дальний конец упирается в дверь ванной комнаты. Слева виден вход зал, в правом углу стоит стол. На столе заваленный компашками и коробками от них компьютер. Вечер. По всему дому ярко горит электрический свет. Из ванной комнаты выходит распаренный, одетый в махровый халат программист. Он довольно мурлычет себе под нос немузыкальную мелодию, потирает гладко выбритые щеки. У него лицо уставшего, но довольного прошедшим днём человека. Программист заходит в зал, включает компьютер. Пока компьютер загружается, он тщательно устанавливает кресло качалку в фокусе двух внушительного вида колонок. Походит к компьютеру, засовывает в привод CD-ROM компакт-диск, открывает бутылку пива. Делает долгий глоток, и облегченно вздохнув, садится в кресло. Покачиваясь в такт музыке, читает книгу, потягивает пиво. Через некоторое время раздается дверной звонок. Программист, благодушно улыбаясь, открывает дверь. За дверью стоит Админ.

Программист: Привет, чем обязан?
Админ: Сегодня сервер переводил на новое железо?
Программист (гордо): Да, ты же сам видел. Всё ровно, пинга 15ть секунд не было.
Админ: Видел, всё работает, но Софа твоя чего - то сбоит. Позвонишь смене или поедем сразу?
Программист: Да ну эту телефонную терапию! Поехали, ты на колёсах?
Админ: Конечно. Собирайся.

Программист скрывается в ванной и через пару минут выходит одетый в клетчатую рубашку и джинсы.

Программист: Ну что, поехали, только возле ларька тормознешь, пивка купить.
Админ: А это мысль. Пошли.

Они выключают свет и выходят, коридор остается пуст. Только пустая бутылка из под пива остается под колонкой слушать циничную синкопированную музыку.

Бутылка вторая

Комната администраторов. Три компьютера с огромными мониторами, столы завалены книгами, бумагами и пепельницами. Стены увешаны сертификатами. Гудит кондиционер. Программист садится за свой компьютер, закуривает, набирает номер на телефоне.

Программист (лениво пощелкивая мышкой): Смена? Ну что там? Не работает?
Соединение устанавливается? Далее: Запросы уходят? Как проверять? Ну, вы даетё! Очереди на шлюзе посмотрите. Не смотрели?! Так вперёд! Да, я на месте.

Кидает трубку, достает из сумки бутылку пиво и некоторое время что-то увлеченно читает на экране, изредка хмыкая и хихикая.

Влетает Смена: Я смотрела! Не уходят! Стоят в очереди! Поиск вагонов не работает! Мне звонили! Говорят, будут писать письмо! Главному инженеру! А где Админ?
Программист, неохотно отрываясь от монитора: Не бойтесь, Маша! Я - Дубровский! Админа я отпустил. Перегружайте шлюз.

Смена выбегает, программист возвращается к чтению. Звенит телефон. Программист берёт трубку: Да. Программист. В курсе. Работаем. Через 15ть минут будет восстановлено. Профилактические работы на сервере. Я Вас предупреждать не обязан. Телеграмма за подписью начальника службы лежит у начальника Вашего подразделения. Пишите. Да хоть Господу богу.

Слегка раздраженно бросает трубку, что-то бурчит про себя. Если бы не знали, что программист в высшей степени культурный и скромный молодой человек, это бурчание можно было бы принять за отборную брань. Программист выпрямляет спинку кресла, пододвигает клавиатуру и начинает бурно стучать по клавиатуре.

Программист: Шлюз, что там у тебя с очередями на 01 автоответ?
Шлюз: Стоят себе.
Программист: Почему?
Шлюз: Да блокирует их кто-то, не знаю. Мне читать не дают. Я особо не лезу.
Оно мне надо?!
Программист: Хорошо, на тебе сообщение. Пройдет?
Шлюз: Конечно. Нормальное сообщение, не то, что этот отстой. На тебе ответ.
Программист (постепенно повышая голос): Хм. Софа. Софа! Соофа!!!
Софа (усталый и тихий голос): Я тут.
Программист: Что там?
Софа: Не дают. Файлы. Писать. Я пытаюсь. Но кто-то блокирует. Даже закрыть не дает.
Программист: Странно. А кто и как?
Софа: Смотри в журнале, я там все написало.
Программист: Хорошо. Хм... Странно. А кто же тебя так? Ну-ка, давай отправим сообщение...
Софа: Шлюз, тут программист хочет сообщение отправить. Примешь?
Шлюз: Без проблем, давай сюда.
Софа: Держи!

Появляется Первый Каспер.

Первый Каспер: Так, кто-то хочет писать на сервер... Интересно, что.
Софа: Да я это, сообщение от программиста хочу Шлюзу передать.
Первый Каспер: Все вы так. Сообщение, сообщение. А присмотришься поближе - вирус. Sircam какой, или того хуже Nimda. Тфу!

На сервере со шлюзом зашевелился Второй Каспер.

Второй Каспер: Кто тут писать на мой сервер собрался?
Софа: Да я это, сообщение от программиста хочу Шлюзу передать.
Второй Каспер: Ну-ну. Знаем мы вас. А кто тут твое сообщение заблокировал?
Софа: Коллега твой. Точно так же доставал.
Второй Капер Первому Касперу: Эй, ты. Ты что сообщение на моем сервере блокируешь? Ты не вирус случаем?!
Первый Каспер: Ты что?! Обнаглел в конец?! Это же я! Каспер! С моего сервера на тебя пишут, вот я и решил проверить...
Второй Каспер: Это мой сервер! Тут только я могу файлы блокировать! Сдается мне, ты вирус!
Шлюз: Ребята, файлик то отдайте.
Второй Капер: Отстань.
Шлюз: Ваше дело...
Телефон: Дзииинь!
Программист: Да. Работаем. Скоро. Да. Конечно.
Софа: Ребят, снимите блокировку. Меня Программист просил сообщение Шлюзу передать!
Оба Каспера в голос: Заткнись!
Первый Каспер: Слушай, не выпендривайся. Больно ты мне один вирус напоминаешь. Дай-ка твой код посмотреть. Хм... Вроде в базе нет. Хотя и сокеты открываешь и по реестру лазишь: Ещё и сервис. Подозрительная ты какая-то.
Софа: Да ты что! Я же Софа! Меня сам Программист писал! Он хороший. Дай файлик закрыть, а?
Первый Каспер: Сейчас, с этим наглецом разберусь...
Первый Каспер Второму Касперу: Эй. Снимай блокировку, ты! Не видишь, я под аккаунтом с правами администратора загружен. Снимай, говорю!
Второму Касперу: Ха! Размечтался! Я тут тоже администратор. А ты вообще из сети пришел, и ещё права качаешь! Ну-ка, убирайся, я файл проверю и Шлюзу отдам.
Шлюз: Кстати, что там на счет файла?
Оба Каспера в голос: Заткнись!
Шлюз: Ваше дело...
Программист: Софа, я ничего не понимаю. Ты хоть файл зарыть можешь?
Софа: Сейчас попробую... Не выходит. Смотри журнал.
Второй Каспера Первому: Слушай, там твой вирус опять к своему файлу лезет. Прибей его, что - ли?
Первый Каспер: Я бы с удовольствием, да не дает. Вот файл заблокирую, пускай попробует дальше заражать. Хе-хе..
Телефон: Дзииинь!
Программист: Да. Да. Программист. Да хоть рапорт об увольнении. Плановые работы.
Софа: Программист, помоги!
Программист (уже основательно взвинченный): Ничего не понимаю. Софа! Закрывай файл!
Софа: Не-мо-гу!
Программист: Тогда засни!
Софа (плача): Я не могу! Ты же сам учил, если файлик не закрыт...
Программист: Засни, говорю!
Софа: Не-мо-гу!
Программист (шипит, яростно стуча по клавишам): Тогда сдохни!
Софа (затихающим голосом): Умираю...
Вбегает близкая к истерике Смена: Там! Звонят! Начальник! Нас уволят!
Программист, с трудом сдерживаясь: Всё будет хорошо. Пускай звонит мне.
Первый Каспер: Хм. Вирус сам сдох. Хорошо я его прижал!
Второй Каспер: Баба с возу, кобыле легче. Ну что, снимай блокировку.
Первый Каспер: Ишь ты, какой хитрый. Я первый его заблокировал. И вообще - мой файл!
Второй Каспер: Ну да. На мой сервер пишут, я его и буду проверять!
Шлюз: Ребята, вы там разобрались? Мне бы запрос передать.
Оба Каспера в голос: Заткнись!
Шлюз: Ваше дело...
Телефон: Дзииинь!
Программист: Да. Работаем. Скоро. Да. Кидает трубку. Телефон падает со стола, цепляя шнуром пепельницу и бутылку пива. Программист как зачарованный смотрит на растекающуюся среди пепла ароматную пенную лужу. Через несколько секунд разворачивается к монитору и начинает быстро стучать по клавиатуре.
Программист: Шлюз, кто файл блокирует?!
Шлюз: Я от куда знаю? Какой-то урод с правами администратора.
Программист: Откуда?
Шлюз: С сервера, где Софа работает... Работала. Мир её праху.
Программист: Так... Так. Кто у нас там запущен... Каспер?
Первый Каспер: Ну что тебе надо? Я тут вирус почти поймал, а ты!
Программист: Какой вирус?! У меня на сервере?! Не может быть!
Первый Каспер: А то ж! Говорит, Софа я, Софа. Видали мы таких Соф. Зря в базе нет. Задавил бы!
Программист: Второй Каспер, ты то, что делаешь?
Второй Каспер: Что орешь?! У тебя на сервере два вируса!
Программист: Всё с вами ясно. Сдохнуть обоим.
Оба Каспера, умирая: Хозяин, да ты что, мы же стараемся! Вирусы ловим! Нельзя же так!
Программист: Сдохнуть! Софа, просыпайся!
Софа: Да. Ой! Блокировку сняли! Шлюз, держи сообщение.
Шлюз: Во. Это сообщение, как сообщение. Держи ответ.
Софа: Программист, держи ответ.
Программист (облегченно): Ну, всё...
Поднимает телефон: Смена, проверьте. Работает? Ну всё, я пошел. Ничего не объясняйте, я завтра пораньше приду, отмажу. Пока.

Он выключает свет, выходит. И только пустая бутылка из-под пива остается лежать в пепельной луже, таинственно мерцая в призрачном свете монитора.

Бутылка третья

Квартира Программиста. Свет выключен. Слышен шум открываемой двери. Заходит хозяин. Лицо уставшее и грустное. Разувается, достает из сумки бутылку пива открывает. В темноте подходит к компьютеру, включает монитор, неспешно открывает "Add/Remove Programs". Наводит мышь на "Kaspersky Antivirus". Задумчиво несколько раз щелкает рядышком с кнопкой Uninstall. И вдруг, словно дьявол вселяется в него. Он залпом выпивает бутылку пива, вставляет в привод компакт с оглушительным hardcore, подтягивает к компьютеру кресло. Из его пальцев веером вылетают regedit'ы, консольки, del /F /Q. В темноте его лицо, освещенное всполохами монитора, ужасает. Он лихорадочно вглядывается в монитор и шепчет: "Своими руками, гада! В ноль, донца! Своими! Ненавижу! Такой вечер! В дерьмо! С-в-о-и-м-и р-у-к-а-м-и!". Пустая бутылка пива, стоящая радом со своей предшественницей трясется от децибелов музыки и страха...

Занавес.

Я с шести лет в школе. В 21 универ заканчиваешь, благодать. Конечно в начальных классах поведение было 2. И на первых 2х курсах правда тоже.
Один недостаток - всегда самые молодые бегают за пивом....

2 sp0Raw, а пошто тебе пассппорта?
Вон скора выборы электрические в россии будут.
Даешь себя в президенты!
(а четыре недели для взлома пароля, это круто!
Они чем там шифруют? RC4/40?
и пароль 4 единички?

А неплохие бабки можно будет делать в принципе.
Это не первокурсникам котрольные по вышке и информатике решать...

Сейчас будет исторя с явой дубль два.
Сначала Sun кричал - вы почему её включили такую плохую в свой ксплорер, а потом начал кричать - вы почему её их кплорера убрали.
Просто шум. Впомните сколько крику за антимонопольное законодательство было. И чего? И ничего.

Блин, последняя фраза торкает - пиплз, все - censored роботов!
Маздай желязякам!

Элементарная криворукость админов.
Все автооответы за исключением доверенных получателей надо резать к чертям, что позволяют делать большинство почтовиков.
Сначала эти мегаадсмины разрешают автоответы, потом их перебором пробамбливают спамеры и админы плакают что к ним спам приходит и начинают настраивать всяки контент фильтры - мильтры.
А на счет ответов вирусов-козирусов, уже после первого клеза любому обладающему мозгами-головой админу стало понятно-ясно что пугать неповинных юзверей предупреждениями о якобы обнаруженных в их письмах вирях не стоит.
Тут на самом деле другая проблема - не умение многих "почтовых" антивирей (к примеру любимого мною до истеик KAV) сохранять заголовки письма, что бы можно было по recived реально отслеживать откель оно пришло.
Это печаль особенно в корпоративке.

PS. А автооответы (входящие) тебе ни кто не мешает блокирнуть на почтовике,  формат стандартный, их можно различать с закрытыми глазами. У меня их режет серверная руля на Exchange.

А вот появляется у нас на сцене средства многофаковой аутентификации типа Smart-Cards и всяких e-Token и у пользователей появляется возможность - сохранять данные на самом свистке и уносить к чертям [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Для тех кто совсем в танке
Разрариваем в папку IIS с включенной поддрежкой ASP  (что не обязательно) [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] и идем по сцылке к файлику drew.хтмл. Или youlickit.gif, если больше по нраву [IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG].
А как это зделать в поште, я вам не скажу, потому что злые вы все и начнете плохие вирусы писать.
[IMG]http://www.securitylab.ru/forum/smileys/smiley14.gif[/IMG]
Тута страшный ксплойт для тех у кого рация на бронепоезде!

Чушь. В том то и бага, что data object'a выполянеся в лоцкал систем, и поэтому выполняетца все на ура.

Это не спасение, просто один из путей эксплуатации уязвимости, разве что вообще удалить WSH из системы
[IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG].
Радикальный метод - отключить ActiveX.

см. оригинальный баллетень
http://www.eeye.com/html/Research/Advisories/AD20030820.html

Тама не мироринг, а проксирование. Вообще довольно спорная технология по ROI. Гонять по WAN каналам трафик какого-то хуцкера пытающего ломануть левую хонепоту. Додого.

Обсуждение статьи Internet Explorer Object Data Remote Execution Exploit (M03-032)

Для тех кто в танке:
На "плохой" страничке должен быть тег <object> параметр data которого указывает на страничку приведенную в ксплойте.
Ксплойт должен идти с контент-тайпом сценария, например application/hta (ну это необходимо для данной конкретной реализации).

http://www.malware.com/drew.html

Прикольная дырка. Эклойтабельно на 200 процентов, почти как IFRAME с MIME. Надо ждать нового клёза ?[IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Обсуждение статьи Ферма Honeypot

Рисунок А доступен по адресу:
http://www.securityfocus.com/ids/images/farms.jpg [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]