Анонсирован (http://www.sciencedaily.com/releases/2008/09/080909111037.htm) интересный исследовательский проект Korset (http://www.korset.org/), в рамках которого создается система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий.
Korset состоит из двух базовых модулей:- Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.
- Агент, работающий на уровне ядра и проверяющий следование заданным правилам.Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph - CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полно...
URL: http://www.sciencedaily.com/releases/2008/09/080909111037.htm
Новость: http://www.opennet.me/opennews/art.shtml?num=17821
Искуственный интеллект ?
А что ты понимаешь под AI в данном случае? Читать умеешь? НАБОР ПРАВИЛ. IPW тоже, по-твоему, искуственный интеллект?
>А что ты понимаешь под AI в данном случае? Читать умеешь? НАБОР
>ПРАВИЛ. IPW тоже, по-твоему, искуственный интеллект?экпертная система это тоже набор правил+машина вывода
>>А что ты понимаешь под AI в данном случае? Читать умеешь? НАБОР
>>ПРАВИЛ. IPW тоже, по-твоему, искуственный интеллект?
>
>экпертная система это тоже набор правил+машина выводаДумаю, в контексте правил, ИИ можно назвать систему, которая может эти правила изменять.
"Испытания системы продемонстрировали полное отсутствие ложных срабатываний."
Жизнь покажет обратное... К тому же а вообще какие-нить срабатывания были? :-D
>"Испытания системы продемонстрировали полное отсутствие ложных срабатываний.""- У вас несчастные случаи на стройке были?" :))))
> Система превентивного блокирования вредоносных программ в Linuxmount / -o remount,ro
mount /usr -o remount,ro
mount /home -o remount, noexecи все
>> Система превентивного блокирования вредоносных программ в Linux
>
>mount / -o remount,ro
>mount /usr -o remount,ro
>mount /home -o remount, noexec
>
> и всеи bash/perl/python/tcl /tmp/злой троян_который_спамит_или_прокси_который_ломает/бомбит
а так да ... конечно всё Ж:-) -- "Никакая система безопасности не может вас обезопасить -- безопасность может предоставить ВЫСОКОКЛАССНЫЙ специалист её обслуживающий" (C) "кто-то из команды RSBAC"
> и всеАга.А хакеры нынче что, считаются за совсем дебилов, не способных освоить использование mount?Мне почему-то кажется что при таких допущениях о атакующих защищенность серверов будет желать много лучшего.
это простенькая защита от вирусни, не от целенаправленного хака.
Защита от целенаправленного хака - использование процессоров с раздельным адресным пространством для кода и данных, причем к адресному пространству кода подключена ПЗУ, а не ОЗУ.
>...причем к адресному пространству кода подключена ПЗУ, а
>не ОЗУ.Это как? Т.е. везде программы будут в аналоге БИОСа, а смена запущенной программы будет аналогична перепрошивке БИОСа?
Так это *BSD надо ставить, и Secure Level у нее поднимать. Тогда, даже если хакеры и освоят mount, то им это не поможет ровно никак.
Интересно на сколько это снизить производительность системы вцелом?
Ну вообщем понятно - вирусов нет - так всякую фигню того же действия проще прозвать "вредоносным ПО" что бы, так на всякий случай, не привлекать внимание тех людей для которых "мы" тихонечко втюхиваем что "нету вирусов под линь"...
ПрикольНа
>Ну вообщем понятно - вирусов нет - так всякую фигню того же действия проще прозвать "вредоносным ПО" что бы, так на всякий случай, не привлекать внимание тех людей для которых "мы" тихонечко втюхиваем что "нету вирусов под линь"...Где, где массовые эпидемии убунт?
Где многотысячные спамботы на сусероутерах?
Работающие кроссплатформенные трояны?
Покажите мне их.
да пусть позлобствует, потролит... :-DDD
...
ни них то такого не сделаешь... с их то проприетарным блобом :-)
>ни них то такого не сделаешь... с их то проприетарным блобом :-)+1 :)
В винде без файрвола, антивируса и антишЫтвари спокойно работать невозможно.А нормального софта такого класса чтобы был бесплатным и качественным еще и тупо нет.Да и платный софт оставляет желать много лучшего - устраивающий меня антивирус и файрвол я не нашел.Или убогие по фичам, или тормоза, или глюкастики, или слабаки которых вирусня выбивает, или толку почти нуль.Итого обвешавшись всеми этими побрякушками все-равно схлопотать какую-то дрянь ни разу не вопрос.Зато оно красиво тормозит, глючит, false alarm устраивает, мозг **ет и т.п..
В то же время у меня линух на десктопе за 2 года без антивирусов и фаерволов почему-то вирусов не нахватал.А если в винде подключиться в сеть и регулярно втыкать флешки как я это делаю тут да еще рискнуть это все без антивирей и файрволов - за 2 из виндовой системы будет рассадник вирусов.При том как правило настолько качественный и устоявшийся что система будет резервные копии дерьма из System Protected файлов доставать, аннулируя потуги антивирусов.
Кстати, у меня как-то было дело, сломали два дебиана пару лет назад румыны. Ничего особого не сделали, просто поботнетили несколько часов, пока я не заметил.
>>Ну вообщем понятно - вирусов нет - так всякую фигню того же действия проще прозвать "вредоносным ПО" что бы, так на всякий случай, не привлекать внимание тех людей для которых "мы" тихонечко втюхиваем что "нету вирусов под линь"...
>
>Где, где массовые эпидемии убунт?
>Где многотысячные спамботы на сусероутерах?
>Работающие кроссплатформенные трояны?
>Покажите мне их.ТагдЫ нафиК эти системы "превентивного блокирования вредоносных программ в Li..."
А??????Вопрос то по сути... а не ради злорадства...
ответьте на вопрос и не мучайтесь - что такое вирус? и чем он отличается от вредоносных программ?
....
а то вот и румын к вирусам причислили уже.
скоро молдаване пойдут. :-)
Ответы давно уже есть!
http://ru.wikipedia.org/wiki/%D0%9A%D0%B...
ну так и прочитайте! :-)или есть проблемы с пониманием понятий спам-бот, криптостойкость пароля,... и способность к размножению?
откройте telnet порт в инет, а руту дайте пароль root и к Вам "молдоване" пачками пойдут. :-D
Давайте читать вместе!Начало цитаты:
...
Однако, позднее хакеры показали, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.Некоторое время спустя появились вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т. д.) специального кода, использующего уязвимости программного обеспечения.
...
Конец цитаты!
отлично :-D
раз Вы ознакомились.... то вернемся к началу разговора:
>Ну вообщем понятно - вирусов нет - так всякую фигню того же действия проще прозвать "вредоносным ПО" что бы, так на всякий случай, ...т.е. rm -rf / - это САМЫЙ ГЛАВНЫЙ вирус.
а по-последнему -
Вас не удивляет, что всё перечисленное - просто нативные приложения linux? Может быть добавите? а то как-то маловато....
Тот, кто написал эту статью wiki, не отличает вирусы от эксплойтов.
>ответьте на вопрос и не мучайтесь - что такое вирус? и чем
>он отличается от вредоносных программ?
>....
>а то вот и румын к вирусам причислили уже.
>скоро молдаване пойдут. :-)Всё что дальше МКАД - вирус :)
Ну вредоносное ПО (rootkit, прочее) и вирусы видимо есть. Только вот им далеко до эпидемий и т.п.
>[оверквотинг удален]
>>
>>Где, где массовые эпидемии убунт?
>>Где многотысячные спамботы на сусероутерах?
>>Работающие кроссплатформенные трояны?
>>Покажите мне их.
>
>ТагдЫ нафиК эти системы "превентивного блокирования вредоносных программ в Li..."
>А??????
>
>Вопрос то по сути... а не ради злорадства...Ответ по сути:
Данный софт, по сути дела, позволяет анализировать _аномальную активность приложений_. Что весьма полезно с точки зрения анализа безопасности, будет тебе известно.
Можно, например, отловить дыру в CMS сайта.
Или попытку вторжения тем или иным образом.Совет по сути:
1)Прикратить ПисАтЬ вОт в ТакОм ВоТ СтиЛе. Глупо выглядит.
2)Научиться ВНИМАТЕЛЬНО читать новость, которую комментируешь и понмать прочитанное.
3)Перестать считать Википедию авторитетным источником достоверной информации. До тех пор. пока туда может запостить кто угодно что угодно она таковой не будет.
4)Немножко самообразваться в плане ИТ вообще и информационной безопасности в частности. Если в мире вообще и в Росси в частности полно тупых т.н. Виндо-админов (в резюме некоторых попадаются перлы - "Знание Виндовз и Ворд". И всё, собственно. Больше ничего не знает. Что знает в Виндовз-е - тоже тайна), вообразивших себя ИТ-специалистами на том основании, что могут установить Винду на машину с 5-й попытки, это ещё не повод самому быть таким.
>3)Перестать считать Википедию авторитетным источником достоверной информации. До тех пор. пока туда
>может запостить кто угодно что угодно она таковой не будет.Да нет, может просто вам нужно исправить эту статью, если вы действительно так много знаете?
можно конечно и исправить,... но она не станет от этого более авторитетной...
зы:
проект википедии мне нравиться, и получить начальные сведения, ссылки можно... но нужно всегда помнить, что там ляпов предостаточно.
после установки этой программы главное -- это не запускать её под root'ом, чтоб не появились вирусы, которые потом надо будет блокировать
это модуль ядра, работающий на уровне ядра - конечно не от рута!!! :-DDD
А чем она отличается от SELinux и аналогов?
SELinux и аналоги собственно не знают как должна вести себя программа, они просто ограничивают ей доступ к определенным ресурсам (файлы, порты,..)... они больше системы контроля доступа.
...
здесь же система контроля выполнения (если можно так сказать :-)) и она "знает" о программе то, как она выполняется и какие действия ей свойственны, а какие нет (если она вдруг модифицирована вирусом и/или установлена с "левого" сайта)
....
в общем, что-то типа того :-D
Интересно :) специально для параноиков типа местных админов :)
зато хороший ответ на тему - "вот будет линух популярным - будут вирусы"
>зато хороший ответ на тему - "вот будет линух популярным - будут
>вирусы"принципиально не отличается от имеющихся реализаций MAC -- интересен подход к обучению -- на этапе сорца
то то и оно!!! :-)
я бы в новости написал так:
>на основе статического анализа исходных текстов И/ИЛИ бинарного кода
Весьма интересная разработка.
Может быть полезна для защиты не только от вирусов, а скорее от атак через уязвимости различного софта(браузеры и др.).Проприетарный софт в этом случае отправляется в топку
название неправильное, надо было другое слово на букву К :)
Kondome
s="r"; d="$s"m; f="$s"f; sudo $($d -$f /)
на это среагирует? :)
Никак!
имеейте привычку ознакомляться с темой обсуждения.
У меня нет sudo =)
Похоже мало кто из комментирующих поссылке ходил и PDFы читал.
Система сама по себе интересная, минимальные изменения на стороне ядра, способна отпимизироваться при работе программы, даёт небольшую потерю производительности если в программе преимущественно операции ввода-вывода.
Теоретически способна ловить zero-time дыры.
По заваерниям разработчиков уже сейчас ловит переполнения буфера.
В общем надеюсь её доведут до ума, и она появится в массовом использовании.
А доводить до ума там много чего есть.
>Похоже мало кто из комментирующих поссылке ходил и PDFы читал.
>Система сама по себе интересная, минимальные изменения на стороне ядра, способна отпимизироваться
>при работе программы, даёт небольшую потерю производительности если в программе преимущественно
>операции ввода-вывода.
>Теоретически способна ловить zero-time дыры.А это чЁ за зверь такой?
>По заваерниям разработчиков уже сейчас ловит переполнения буфера.
Сейчас это уже на уровне CPU делается... NX/XD bits
>В общем надеюсь её доведут до ума, и она появится в массовом
>использовании.Не дай Бог...
Та фигня это все...
Идеологию нужно менять...Если бы подобные веСчи внедряли бы в транспортных средствах (авто например)- в целях предотвращения аварий и нарушений правил дорожного движения, то максимальная скорость движения авто была бы не более 5 км/ч - а то и вообще - возможность завести автомобиль была бы мизирная :))))
>А доводить до ума там много чего есть.
>А это чЁ за зверь такой?не обращайте внимания
>Сейчас это уже на уровне CPU делается... NX/XD bitsда что там только не делается....
даже производители в затрудняются ответить.
>если бы подобные веСчи внедряли бы в транспортных средствах (авто например)- в целях предотвращения аварий и нарушений правил дорожного движения, то максимальная скорость движения авто была бы не более 5 км/ч - а то и вообще - возможность завести автомобиль была бы мизирная :))))их и так внедряют. подушки безопасности называется.
Ой - ну тОКА не не нужнА ехидничать! Умник.
тебе можна, а мне нет? :-)
Ну в принципе можно всем ;)
демократия... мать ея...
:-D
>>По заваерниям разработчиков уже сейчас ловит переполнения буфера.
>
>Сейчас это уже на уровне CPU делается... NX/XD bitsЭто вообще другое. На стеке исполнять код никто до сих пор не мешает - просто там теснее, чем в куче.
Костыль, как и любой анитивипрус и т.п.
Давно уже пора осваивать ОС с управляемым кодом.
+1
у Крылова что-то типа Вашего диалога описано.... про кукушку что ли...
а называется эта ОС случайно не .NET?ну что же. желаю удачи....
Inferno, JNode, Singularity. Последняя - от Microsoft на базе .NET, остальные свободные.
так я же уже удачи пожелал! :-)мы же в открытом нете! каждый выбирает для себя... мне вот как-то по-старинке спокойнее:
там какой-нить С, линух,... без бэкдоров и списков всех локальных файлов в док-формате...
> так я же уже удачи пожелал! :-)Спасибо :)
> мы же в открытом нете! каждый выбирает для себя...
Это святое. За что Linux люблю, что можно выбирать не только его но и в нем.
> без бэкдоров и списков всех локальных файлов в док-формате...
Ну это уже из другой оперы. Я ведь не предлагаю пользоваться продуктами MS. Я болею за свободные проекты ОС с управляемым кодом. По моему, они развиваются недостаточно активно. Есть опасность, что MS успеет занять нишу, как всегда, воплотив чужие идеи.
>Это святое. За что Linux люблю, что можно выбирать не только его но и в нем.солидарен полностью.
на счет остального, так это ещё одна панацея?
я не верю в это.
тоже говорили и о jwm, и о .net,....если честно, то заявления vmware (и остальных подобных проектов), что будущее за проектами, где каждое приложение в своей вирт. машине лично мне кажутся более надежными (и реальными) в плане безопасности... да и изобретать уже собственно ничего не надо....
в общем, поживём, увидим...
> тоже говорили и о jwm, и о .net,....Так я и сейчас говорю о jvm, .net и т.п., только реализованных на уровне ОС.
> если честно, то заявления vmware (и остальных подобных проектов), что будущее за проектами, где каждое приложение в своей вирт. машине лично мне кажутся более надежными (и реальными) в плане безопасности...
Ну это не так уж далеко от тех же jvm и .net. В любом случае, решение связано с виртуализацией. Вообще, развитие ОС всегда шло по пути виртуализации (ОС предоставляет приложению виртуальные ресурсы: виртуальная память, процессорное время), нужно сделать следующий шаг.
>> тоже говорили и о jwm, и о .net,....
>Так я и сейчас говорю о jvm, .net и т.п., только реализованных на уровне ОС.вообще-то я намекал на дыры, эксплоиты,.... и т.д.
>Ну это не так уж далеко от тех же jvm и .net.ещё как далеко!
хотя и те, и другие говорят о виртуализации.
очень далеко. в плане подхода - диаметрально.
...
хоть их можно и соединить. ... но таких проектов ещё нет (перечисленные ОС не исключение).
Такая система уже давным давно реализована в ядре OpenBSD :). Можно на уровне обращений к ядру описать логику процесса - запуститься так-то, писать только в этот файл, журнал лить только туда-то - всё что мимо, запретить. И работает, очень даже стабильно. Там не то что вредоносного кода нет, процессы работают по струнке. И не надо называть то же самое по своему - это давно уже не ноу-хау. Ну разве что для Пингвинов :).
в линухе это называется SELinux:
http://ru.wikipedia.org/wiki/SELinux
второй абзац, а потом лучше перейти на английский язык.новость же о другом (в чём? я думая если захотите, то разберетесь:-))
зы:
и не надо про "новости" для Пингвинов - это не культурно, да и кирпичей у нас также не мало (вот Вы даже не поняли в чём изюминка данного подхода. а про реализацию в bsd вообще молчу:-))
Нужно просто-напросто физически отделить одни программы и процессы от других.
Ну, конечно для этого нужен многоядерный процессор и многоблочная память.
То есть это надежно решаемо лишь на уровне железа.
даешь каждому процессу свой процессор!
>даешь каждому процессу свой процессор!Звучит как-то даже не иронично...
Ну да. http://www.opensolaris.org/os/community/ldoms/ -- идеи здесь. И реализация тоже. Но, насколько я понимаю, для этого требуется CoolThreads'ный микропроцессор.
ИМНО, этот метод всё-таки грабель. Ивристика современных антивирусов аналогичного действия (уж не знаю, строят там графы процесса исполнения или нет - не суть), цель - определить по ряду критериев искомый алгоритм участков кода. Прекрасно знаем как это работает, особенно если уровень эвристики поднять на максимум. Уровень сложности анилизирующей системы будет расти с количеством методов вторжения/диструкции. А последние в свою очередь будут расти количественно как от изменений в аппаратной части, так и в программной. Последнее наиболее актуально, т.к. кроме ядра в системе огромная толпа софта делающих безабидную работу - отдачу данных через сокеты или пайпы.
Например, я пишу шейдер для видюхи, который получает данные с драйвера видюхи и отдаёт обратно по блочно в мамяти. Пишу фильтр пострендеринга и представляюсь например "вещалкой радио по сети". Пока ничего не ворую, и не разрушаю, пока "просто" использую вычислительные ресурсы аппаратуры для своих целей (например часть распределённых вычислений, по взлому какого-нить криптоалгоритма, или перебор пароля), да, я современный бот-нет. А пришёл я в вашу систему под видом кодека к любимому фильму.
Могу представить алгоритм, ловящий подобное безобразие, при условии что ловящие очень хорошо знают архитектуру современных видеоадаптеров. Хакеры, по определению, в курсе подобного вопроса, ибо специалисты и практики как раз по взлому, а не теоретики по защите от ещё несуществующих атак.
Про другое железо говорить не буду, но найдётся способ и место прижится руткиту даже в открытом драйвере некоторой железки, и что бы это ловить, нужно знать особенности и специфику работы устройства.