IT консалтинговая фирма, занимающаяся проблемами безопасности, n.runs AG (http://www.nruns.com/_en/aps/press.php), заявляет, что обнаружила (http://blogs.zdnet.com/security/?p=1445&tag=nl.e539) более 800 уязвимостей в антивирусном ПО различных производителей. Воспользовавшись этими лазейками, злоумышленник может проникнуть в локальную сеть организации, внедрить деструктивный код в незащищенные системы или начать DoS-атаку (http://ru.wikipedia.org/wiki/DoS).В течение последних нескольких месяцев специалисты n.runs AG изучали вопрос защищенности самих антивирусов, и пришли к выводу, что наличие антивирусного ПО, установленного на ключевых системах в любой компании сопровождается значительным риском в плане их безопасности. Так например, любой, из представленных на рынке, вирус-сканер имеет как минимум несколько серьезных уязвимостей.
Для выявления проблем безопасности инженеры n.runs AG использовали ту же логику, на которой основывается множество уязвимостей – антивирус вмест...
URL: http://blogs.zdnet.com/security/?p=1445&tag=nl.e539
Новость: http://www.opennet.me/opennews/art.shtml?num=16877
roflcopter
Хм. Фигово. Если так, тогда понятно в принципе, откуда при живом антивирусе вирусы на машине.
>Хм. Фигово. Если так, тогда понятно в принципе, откуда при живом антивирусе
>вирусы на машине.Мде, защитничков самих в пору защищать.А вот от каспера кстати не ожидал, вроде культурно написано, хоть и тормознутое.Ужас!Оказывается вполне заурядные халтурщики раз при такой популярности до сих пор дырявое. ClamAV - ну с этим все понятно, оно до недавних пор просто малопопулярное.Соответственно логично что баги еще не отловили.
В общем вывод забавный: антивирус хакеру друг, товарисч и средство проникновения в систему :)
>Мде, защитничков самих в пору защищать.А вот от каспера кстати не ожидал, вроде культурно >написано, хоть икод смотрели что ли? в форум загляните к ним - чуть в сторону от домашней однопользовательской конфы и ...а когда баг уже юзером выловлен (реальная ситуация) - может быть мы соизволим в следующих релизах поправить
Идеальная защита, как известно - это сферический конь в вакууме и поиски панацеи =)
Выборка странная там у них по антивирусам - ни дрвеба нету, ни есетовского нод32. Не говоря уже о некотором количестве других антивирусов, также вполне популярных.
>Выборка странная там у них по антивирусам - ни дрвеба нету, ни
>есетовского нод32. Не говоря уже о некотором количестве других антивирусов, также
>вполне популярных.Так попали ведь самые самые
Правильная политика "defense in depth". Её проводят нормальные компании, такие как Google. (например тут про это говорится http://cloudsecurity.org/2008/07/01/cloudsecurityorg-intervi...
А если нутро дырявое, то можно сколько угодно его прикрывать. Совершенно ясно, что это никогда не будет эффективным.
хорошо, что в Linux пока нет этого ада...
>хорошо, что в Linux пока нет этого ада...это пока =)
>>хорошо, что в Linux пока нет этого ада...
>
>это пока =)Я "это пока" уже лет 10 точно слышу.
Первая продакшн система Slackware 4.0. Сейчас федоры, альты, фрибсди, убунты...
Когда ж наступит...
>хорошо, что в Linux пока нет этого ада...есть, clamAV. Он частенько грешил запуском кода при распаковке "кривых" архивов.
Самая правильная защита от вирусов - в микроконтроллерах PIC/AVR. Там их не может быть в принципе.
>Самая правильная защита от вирусов - в микроконтроллерах PIC/AVR. Там их не
>может быть в принципе.Да что ты? Может там и кода уже нет?
Заинтересованы ли антивирус-мейкеры в уменьшении/уничтожении вирусов? НЕТ.Заинтересованы ли вирус-мейкеры в ослаблении/уничтожении антивирус-мейкеров? ДА.
Антивирус-мейкеры сами попали в идиотское положение: делают некачественное ПО для защиты некачественного ПО. А вот в этой честной битве победит сильнейший!
P.S. Сообщество вирус-мейкеров в разы превосходит IT-отделы антивирус-мейкеров :)
>Заинтересованы ли антивирус-мейкеры в уменьшении/уничтожении вирусов? НЕТ.
>
>Заинтересованы ли вирус-мейкеры в ослаблении/уничтожении антивирус-мейкеров? ДА.
>
>Антивирус-мейкеры сами попали в идиотское положение: делают некачественное ПО для защиты некачественного
>ПО. А вот в этой честной битве победит сильнейший!
>
>P.S. Сообщество вирус-мейкеров в разы превосходит IT-отделы антивирус-мейкеров :)Напоминает старинные байки о тайно-секретных отделах антивирусников, где они сами вирей выводят =)
>Напоминает старинные байки о тайно-секретных отделах антивирусников, где они сами вирей выводят
>=)мне кажется это был бы оправданный с их стороны шаг... но не с нашей конечно-же.
ни кому не надо выпускать телевизор который всё умеет и ни когда не ломается... ни кому не надо выпускать машину которая потребляет минимум топлива, не требует обслуживания и т.п.
также и со всем другим, куда ни глянь. везде где бабки - это было и будет.
В случае перехода всех на opensource антивирусники будут не нужны, ну или совсем не нужны ;)Так что пора всем задуматься ;)
Linux forever
>В случае перехода всех на opensource антивирусники будут не нужны, ну или
>совсем не нужны ;)
>Ага. Наступит то самое светлое будущее... ;)
Не только opensource. Нормальная возможность работы системы без доступа на запись в "системные" папки.. Ну а кто совсем за безопасность трясётся - selinux/apparmor вам в руки.
Это распространённое заблуждение. Если вирус грохнет мне мой /home, то мне будет уже всё-равно, в общем-то, что "система в целом не заражена".
> Это распространённое заблуждение. Если вирус грохнет мне мой /home, то мне будет уже всё-равно, в общем-то, что "система в целом не заражена".Это не распространённое заблуждение. Если вы(или ваш системный администратор) не делает бекапы вашего /home, это ваши(его) проблеммы!
Имея только /home/user вирусу будет очень сложно распростроняться/запускаться.
Буратино тоже может засверлиться, это жизнь такая.
>Это распространённое заблуждение. Если вирус грохнет мне мой /home, то мне будет
>уже всё-равно, в общем-то, что "система в целом не заражена".ваш /home может грохнуть не только вирус ... :-)
Для начала надо смонтировать /home, /tmp, /var/tmp и некоторые др.разделы в режим NoExec, и вирусу будет намного труднее запуститься. Впрочем, невозможность внедриться в код уже существующих программ и невозможность затеряться в системных папках - уже немало.
>Для начала надо смонтировать /home, /tmp, /var/tmp и некоторые др.разделы в режим
>NoExec, и вирусу будет намного труднее запуститься. Впрочем, невозможность внедриться в
>код уже существующих программ и невозможность затеряться в системных папках -
>уже немало.согласен !
А еще, можно некоторые опасные вещи, такие, как браузер, wine (для тех, кто не может жить без софта с оффтопика) запускать через sudo под другим юзером:))
>А еще, можно некоторые опасные вещи, такие, как браузер, wine (для тех,
>кто не может жить без софта с оффтопика) запускать через sudo
>под другим юзером:))говорят ./abc.py или ./abc.sh не запустится а py abc.py или sh abc.sh спокойно заработает....
>Это распространённое заблуждение. Если вирус грохнет мне мой /home, то мне будет
>уже всё-равно, в общем-то, что "система в целом не заражена".
А то линукс не дырявый?Главное что он малопопулярный, это правда. Но вот завтра перейдем на него все, что и же, сударь, побежите новую альтернативую мейнстримному коду искать, которую просто не так много скомпроментировали?
>А то линукс не дырявый?
>
>Главное что он малопопулярный, это правда. Но вот завтра перейдем на него
>все, что и же, сударь, побежите новую альтернативую мейнстримному коду искать,
>которую просто не так много скомпроментировали?простите, но вы говорите так от вашего незнания и непонимания принципов инф.безопасности.
сделайте папки /tmp и /home неисполняемыми, используйте SELinux от американского КГБ и обновляйте регулярно ядро(можете убрать из него всё что вам не нужно и тогда шансы запустить произвольный код на вашей машине станут ещё меньше) и софт. Используйте HIDS типа tripwire.
ваша система будет крайне(!) безопасна.
Сижу и представляю себе секретаршу или бабушку, которая отключает модули в ядре через make menuconfig, а потом само ядро пересобирает. Система должна быть дружественна к пользователю.
Уже давно пора в линуксе делать инсталлеры, которые сами могут включить необходимые опции и пересобрать ядро при необходимости. Это все для пользователя должно быть абсолютно прозрачно. А еще лучше, если все необходимые модули ядра для конкретной версии будут доступны в качестве пакетов. Отключение всего ненужного это утопия для рядового глупого пользователя.
вы не адекватны -- прежде чем разглагольствовать УСТАНОВИТЕ уже -- и посмотрите хотя-бы
Так берите и делайте, Вам никто не мешает ;)
GET, вы видели секретаршу, которая хотя бы слышала о "дружелюбных к админу" групповых политиках windows??
между прочим и с GP нужно повозиться, чтобы установить определенное ПО на машины предприятия... и ваша секретарша не сможет этого сделать. А скомпилировать ядро через тот же make menuconfig ни чуть не сложнее чем установить софт с GP.
А вообще, обеспечение локальной и сетевой безопасности это отдельная песня... с windows я думаю достичь подобных результатов будет на порядок сложнее, и вы подумаете какой хороший этот `make menuconfig`...
хватит говорить что виндовс - это легче! вы тратите часы на решение многих проблем! и не замечаете этого.. и проблем там ПРЕДОСТАТОЧНО. а в линуксе коммандную строку открыть .... оо! ... это уже сложно, при этом в венде весь дебаг только из командной строки.
>Сижу и представляю себе секретаршу или бабушку, которая отключает модули в ядре
>через make menuconfig, а потом само ядро пересобирает. Система должна быть
>дружественна к пользователю.Секретарше это должен делать IT-шник.
Бабушке достаточно базовой безопасности.
Система уже давно дружественна.>Уже давно пора в линуксе делать инсталлеры, которые сами могут включить необходимые
>опции и пересобрать ядро при необходимости. Это все для пользователя должно
>быть абсолютно прозрачно. А еще лучше, если все необходимые модули ядра
>для конкретной версии будут доступны в качестве пакетов. Отключение всего ненужного
>это утопия для рядового глупого пользователя.много непонятных букв :(
>Сижу и представляю себе секретаршу или бабушку, которая отключает модули в ядре
>через make menuconfig, а потом само ядро пересобирает. Система должна быть
>дружественна к пользователю.
>Уже давно пора в линуксе делать инсталлеры, которые сами могут включить необходимые
>опции и пересобрать ядро при необходимости. Это все для пользователя должно
>быть абсолютно прозрачно. А еще лучше, если все необходимые модули ядра
>для конкретной версии будут доступны в качестве пакетов. Отключение всего ненужного
>это утопия для рядового глупого пользователя.Не разу не видел секретаршу или бабушку занимающуюся этим. Вообще-то это входит в обязанности админа или человека, подготавливающего комп к продаже. или того, кто занимается обслуживанием софта.
>сделайте папки /tmp и /home неисполняемыми, используйте SELinux от американского КГБ и
>обновляйте регулярно ядро(можете убрать из него всё что вам не нужно
>и тогда шансы запустить произвольный код на вашей машине станут ещё
>меньше) и софт. Используйте HIDS типа tripwire.
>ваша система будет крайне(!) безопасна.полное непонимание как у вас.
1) у вас в ~/bin не лежат скрипты для повседневных мелочей? на кой юг мне noexec на хомяке, где работчие проекты лежат? сразу видно - человек не работал под *nix.
2) selinux - УГ. мало того что 99% софта из поставки дистра с ним просто неработает, так еще и неюзабельный алгоритм написания политик под него.
3) tripwire вам ничем не поможет когда будет стерт ваш хомяк, в лючшем случае оно уже обнаружит затрояненный хомяк
> у вас в ~/bin не лежат скрипты для повседневных мелочей?~/bin симлинком вынесен в особый раздел (можно на /usr), а лежащие там программы особо тщательно отслеживаются на предмет появления пакостей. Более того: можно сделать так, что юзер сам не может записывать в ~/bin, а помещает туда свои скрипты особой SetUID'ной утилитой, до которой вирус фиг додумается.
>>сделайте папки /tmp и /home неисполняемыми, используйте SELinux от американского КГБ и
>>обновляйте регулярно ядро(можете убрать из него всё что вам не нужно
>>и тогда шансы запустить произвольный код на вашей машине станут ещё
>>меньше) и софт. Используйте HIDS типа tripwire.
>>ваша система будет крайне(!) безопасна.
>
>полное непонимание как у вас.
>1) у вас в ~/bin не лежат скрипты для повседневных мелочей? на
>кой юг мне noexec на хомяке, где работчие проекты лежат? сразу
>видно - человек не работал под *nix.Для повседневных мелочей скрипты оттестированы и лежат в специальной директории со специальными правами и отслеживанием за их поведением.
>2) selinux - УГ. мало того что 99% софта из поставки дистра
>с ним просто неработает, так еще и неюзабельный алгоритм написания политик
>под него.Не одним SELinux жива безопасность никсов.
>3) tripwire вам ничем не поможет когда будет стерт ваш хомяк, в
>лючшем случае оно уже обнаружит затрояненный хомякнда ... что ж такого надо сделать, чтобы словить вирусню в /home и чтобы он стер /home ?! Подскажите, а?!
>1) у вас в ~/bin не лежат скрипты для повседневных мелочей? на
>кой юг мне noexec на хомяке, где работчие проекты лежат? сразу
>видно - человек не работал под *nix.клади скрипты в /usr/bin/scripts, читай man sudo
>2) selinux - УГ. мало того что 99% софта из поставки дистра
>с ним просто неработает, так еще и неюзабельный алгоритм написания политик
>под него.сложноват в освоении, не спорю.. но его надо просто научиться готовить)
слышал недавно появилась новая ГУИ-конфигурялка, пока не юзал
>3) tripwire вам ничем не поможет когда будет стерт ваш хомяк, в
>лючшем случае оно уже обнаружит затрояненный хомякбред сивой кобылы, резервное копирование никто не отменял.
вы хотите что-то большее чем обнаружить протрояненный файл?
Кто сказал, что это не пиар никому неизвестной n.runs AG ?
Я так тоже могу написать, что моя IT консалтинговая фирма "Анонимоус консалтинг" нашла 200000 критических уязвимостей во всех антивирусах и буду продвигать свою "Security through "No-Parsing".
Вся суть этих заявлений сводится к одному - наш продукт круче всех, остальное - дерьмо.
Не понял этого:
>антивирус вместо сканирования начинает
>синтаксический разбор файлов (parsing), что
>позволяет запустить на выполнение нежелательный код
>
>Не понял этого:
>>антивирус вместо сканирования начинает
>>синтаксический разбор файлов (parsing), что
>>позволяет запустить на выполнение нежелательный кодпарсер кривой
можно подсунуть такой архив, что в коде парсера будет переполнение буфера
при переполнении буфера вместо кода парсера будет исполнятся некий код
если не подбирать содержимое архива - то будет DDOS
если правильно подбрать содержимое архива - то будет исполнятся код нужный атакующему,
код будет исполняться с правами демона clamav
>[оверквотинг удален]
>>>синтаксический разбор файлов (parsing), что
>>>позволяет запустить на выполнение нежелательный код
>
>парсер кривой
>можно подсунуть такой архив, что в коде парсера будет переполнение буфера
>при переполнении буфера вместо кода парсера будет исполнятся некий код
>если не подбирать содержимое архива - то будет DDOS
>если правильно подбрать содержимое архива - то будет исполнятся код нужный атакующему,
>
>код будет исполняться с правами демона clamavРечь, видимо, о том, что не понятна фраза: "антивирус вместо сканирования начинает синтаксический разбор файлов".