В Android Market, официальном каталоге приложений для платформы Android, обнаружено (http://web.ncsu.edu/abstract/updates/wms-android-plankton/) десять приложений, содержащих в себе скрытый троянский код. Судя по статистике, данные приложения находятся в каталоге уже несколько месяцев и были загружены пользователями более 200 тысяч раз. В настоящее время программы удалены из каталога, для удаления вредоносного кода с телефонов компанией Google инициирована (http://www.darkreading.com/advanced-threats/167901091/securi...) функция удаленной деактивации программ. Среди пораженных программ: Shake To Fake (Fake call), Angry Birds Rio Unlock, Angry Birds Cheater, Angry Birds Multi User, Favorite Games Backup, Call Ender, Bring Me Back My Droid, Chit Chat, Guess the Logo и Snake Kaka.Суть работы обнаруженного вредоносного ПО, получившего имя Plankton (http://www.csc.ncsu.edu/faculty/jiang/Plankton/), в том, что посл...
URL: http://web.ncsu.edu/abstract/updates/wms-android-plankton/
Новость: http://www.opennet.me/opennews/art.shtml?num=30847
Мде, вот вам и нет вирусов под linux.
Android не linux. Plankton не вирус.
Android Linux только без связки GNU. Plankton возможно вирус. Проблема чисто Далвалка.
Гугл с своей рекламой довыеживался, приучив юзеров давить Yes не глядя для любого вареза. Только вот как троянцы на яве под андроид относятся к линуксу?
Android работает на ядре linux. Plankton не вирус, а троян.
Это вирусы под Java. Ещё на заре Java пиарили как безопасную платформму для вэб. Такая вся безопасная, така вся в песочнице, б...
сразу видно что вы не в теме.
Читали небось об апплетах, а здесь речь вобще-то совсем о другом, да и причем тут безопасность платформы??
даже самый безопасный инструмент не заменит наличие мозга у пользоватея.
> сразу видно что вы не в теме.
> Читали небось об апплетахНе только. СУНЬ все уши прожужжала со своим долбаным "интыпрайзом" - уж конечно, не без слова secured! Так что это ваш пердёж - люди-то как раз в теме.
> и причем тут безопасность платформы??
> даже самый безопасный инструмент не заменит наличие мозга у пользоватея.Дооооо! Надо же перед каждым приложением садиться за декомпилятор и проверять работу каждой функции, год тестировать в песочнице, а потом уж запускать! Вот лохи-то юзеры, да?
Нет, не было и не будет 100% безопасной технологии. Любую технологию, придуманную одним человеком рано или поздно взломает другой человек. Для этого нужно только время, надо же разобраться как и что работает. Java ничуть не хуже любой другой технологии. То, что в java есть защита от переполнения буфера, и некоторые другие плюшки "управляемого кода", не делает её сразу непотопляемой технологией. В любом ПО есть свои дыры, недоработки и просто узкие места. Тот, кто нашёл их. может использовать их в своих корыстных целях. Это естественно.
Где вы в новости увидели слово Linux?
вот вам и отсутствие apt-get upgradeтут сама парадигма другая, и модель использования, к дистрибутивам вообще неприменимая. поэтому в дистрибутивах (а слаке и debian уже 18 лет) никаких троянов нет и не надо.
> вот вам и отсутствие apt-get upgrade
> тут сама парадигма другая, и модель использования, к дистрибутивам вообще неприменимая.
> поэтому в дистрибутивах (а слаке и debian уже 18 лет) никаких
> троянов нет и не надо.Чем же парадигма принципиально отличается?
ИМХО абсолютно тоже самое. Разница лишь в популярности и в квалификации пользователей.
И когда же в последний раз был обнаружен троян в репах дебиана?
> И когда же в последний раз был обнаружен троян в репах дебиана?Неисправимо улучшенный OpenSSL который? ;-)
>> И когда же в последний раз был обнаружен троян в репах дебиана?
> Неисправимо улучшенный OpenSSL который? ;-)Или дающий удаленно рута Exim :-)
Причом тут Linux? Ето гугл надо накол посадить за их маркет, етож надо было сделать такое решето.
И чем Android Market отличается от репозиториев обычных дистрибутивов ? Кто гарантирует, что там уже нет троянов. Техника продвижения трояна абсолютно аналогична. Фактов взлома инфраструктур различных открытых проектов было море. Proftpd из последнего (http://www.opennet.me/opennews/art.shtml?num=28866).
Для обычных дистрибутивов доступен исходный код программы. Как миимум - поймали бы раньше. Точнее - поймали бы раньше наверняка, как только кто-то полез бы ковыряться, чтобы собрать под какую-нибудь Генту. А "фактов взлома" было два или три, это отнюдь не море. С ProFTPD - хороший пример. Целых четыре дня оно продержалось, причём ни в какие дистрибутивы, ясное дело, попасть не успело.
> И чем Android Market отличается от репозиториев обычных дистрибутивов ? Кто гарантирует, что там уже нет троянов.Кто вам гарантировал, что завтра вы проснётесь? Никто. Но действуете вы именно так, как будто эта гарантия есть. Нормальный подход - как только есть основания думать что где-то троян - принимать меры. Рекомендую изучить историю с Powerweb под OS/2. Закрытым, на минуточку, проектом. Ему прощали долго не закрываемую уязвимость настроек по дефолту. Но не простили троянский модуль.
> Фактов взлома инфраструктур различных открытых проектов было море
Дискредитированный дистрибутив будет выпилен. Зайдите на Distrowatch - посмотрите первую сотню. Движение этого даже не заметит, даже если запилят Ubuntu.
> Дискредитированный дистрибутив будет выпилен.что-то бебиан до сих пор живёт, зараза.
сильно дискредитирован?
> сильно дискредитирован?после фэйла с OpenSSL? сильно, дальше уже и некуда.
>> сильно дискредитирован?
> после фэйла с OpenSSL? сильно, дальше уже и некуда.Возможность брутфорсом вычислить сгенерированный при помощи опенссл ключ и дешифровывать перехваченный траффик уже равна типичному для оффтопика и впервые наблюдаемому под андроид ботнету? Или о каком фейле речь??
> Возможность брутфорсом вычислить сгенерированный при помощи опенссл ключ и дешифровывать
> перехваченный траффик уже равна типичному для оффтопика и впервые наблюдаемому под
> андроид ботнету? Или о каком фейле речь??люблю фанбоев бебиана. речь о том, что некий идиот, который не понимает ничего ни в криптографии, ни в программировании, позволил себе совать свои кривые руки в важный системный компонент, завязаный в security. и да — такое ослабление паролей для *всех* юзеров — это троян. и неизвестно, какой идиот и что следующее в бебиане испортит. так что бебиан — всё. и все бебиан-based тоже всё.
Какие пароли, анонимус? Ослабление сгенерированных ключей - это никаким боком не относится к каким-то паролям, расслабся. И, кстати, моей генте уже 5 лет.
> после фэйла с OpenSSL? сильно, дальше уже и некуда.много людей так считают? Для сравнения - опять-таки почитайте историю PowerWeb под OS/2. И оцените-сравните результат.
> много людей так считают?те, для кого security — не пустой звук. а про OS/2 мы не говорим, она не FOSS, и потому здесь и сейчас неинтересна.
Вот ещё накопал ссылок на взломы открытых проектов:MySQL: http://www.opennet.me/opennews/art.shtml?num=30043
PHP: http://www.opennet.me/opennews/art.shtml?num=29981 http://www.opennet.me/opennews/art.shtml?num=29969
SourceForge (если в Android Market ломают разработчиков, то здесь сломали сам хостинг): http://www.opennet.me/opennews/art.shtml?num=29426
Взлом серверов Fedora: http://www.opennet.me/opennews/art.shtml?num=29374 http://www.opennet.me/opennews/art.shtml?num=17510
CentOS: http://www.opennet.me/opennews/art.shtml?num=22496
Взлом Savannah (официальный хостинг проектов GNU): http://www.opennet.me/opennews/art.shtml?num=28850
X.Org: http://www.opennet.me/opennews/art.shtml?num=28745
IRC-сервер UnrealIRCd: http://www.opennet.me/opennews/art.shtml?num=26945
Взломы инфраструктуры Apache: http://www.opennet.me/opennews/art.shtml?num=26219 http://www.opennet.me/opennews/art.shtml?num=23208
Xen: http://www.opennet.me/opennews/art.shtml?num=25353
Tor: http://www.opennet.me/opennews/art.shtml?num=25117
SquirrelMail: http://www.opennet.me/opennews/art.shtml?num=22833
phpBB: http://www.opennet.me/opennews/art.shtml?num=20129
и после этого вы утверждаейте, что Linux полностью защищен от появления троянов в официальных репозиторях ???
Канешно нет. Я не слепо верю что в *NIX не может бить вредоносного ПО, ето не само собой разумееца ето результат работи людей которие занимаюца чтоби такого не случалось, но ето ведь не взлом андроид маркера, а вполне себе "стандартная" ситуация когда в размещоних там програмам находят вот такую вот ерунду.
Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.
>Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.вы наверное не прочитали то что вам процитировали... Может так обратите внимание что в списке перечисленных взломов есть и сервера РедХат?
http://www.opennet.me/opennews/art.shtml?num=17510
>>Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.
> вы наверное не прочитали то что вам процитировали... Может так обратите внимание
> что в списке перечисленных взломов есть и сервера РедХат?
> http://www.opennet.me/opennews/art.shtml?num=17510Факты попадания троянов в репозиторий red hat или хотя бы scientificlinux - будут, или "и снова до свидания"?
>>>Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.
>> вы наверное не прочитали то что вам процитировали... Может так обратите внимание
>> что в списке перечисленных взломов есть и сервера РедХат?
>> http://www.opennet.me/opennews/art.shtml?num=17510
> Факты попадания троянов в репозиторий red hat или хотя бы scientificlinux -
> будут, или "и снова до свидания"?То есть возбуждает не сам факт что доступ к серверам был получен и подменены цифровые подписи (CVE-2008-3844), а нужен именно "троян" в репозитории?
Вот самих red hat даже этот "пустячек" почему-то беспокоит...
Вы можете и дальше сохранять веру в надежность официальных репозиториев red hat.
> Вот самих red hat даже этот "пустячек" почему-то беспокоит...Наверное именно потому, что их этот факт беспокоит, троянов там так и не завелось? Нет?
> Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.так зачем пробовать — бебианцы сами с этим отлично справляются. историю с OpenSSL напомнить?
>> Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.
> так зачем пробовать — бебианцы сами с этим отлично справляются. историю с
> OpenSSL напомнить?мне напомните, где там троян затесался? Я, возможно, что-то пропустил, но просто ключи более слабые, чем обычно генерировались, это далеко ещё не "троян".
>>> Попробуй в репозитоий Debian или Red Hat добавить трояна посмотри что вийдет.
>> так зачем пробовать — бебианцы сами с этим отлично справляются. историю с
>> OpenSSL напомнить?
> мне напомните, где там троян затесался?В запостившем bugs.debian.org/363516 и в "зафиксившем" его -- клиентская и серверная часть?..
> Я, возможно, что-то пропустил, но просто ключи более слабые, чем обычно генерировались
Ничего себе -- "просто более слабые". Пространство поиска там съёживалось до 18 бит, ключи брутфорсились за полчаса.
http://lwn.net/Articles/282230/
http://lwn.net/Articles/282038/PS: в альте по этому поводу запаковали чёрный список таких ключей (openssh-blacklist) -- если установлен, они отвергаются при попытке аутентификации.
http://lists.altlinux.org/pipermail/sisyphus/2008-May/330732...
> PS: в альте по этому поводу запаковали чёрный список таких ключейпо-моему, не только в альте, много где.
>> PS: в альте по этому поводу запаковали чёрный список таких ключей
> по-моему, не только в альте, много где.Наверное -- IIRC идея пришла в головы @ALT/Owl, потом была оптимизирована с тем, чтоб не тащить мегабайты ключей, и затем реализована. В любом разе хорошо, что расползлось.
Да, по первой же ссылке на lwn.net описывается такой типично линуксовый ботнет: для успешного заражения сервера надо
а) Разместить/Использовать на целевом сервере машине ключи, сгенерированные на дебиане с ослабленной генерацией ключейб) Убедиться, что используется аутентификация по ключам в ssh
в) Перебрать 256 тысяч вариантов ключей, то есть фактически осуществить такое же количество подключений.
Типичнейший линуксовый троян. Фактически упрощён взлом сервера при остальных благоприятных факторах, не более того.
> Фактически упрощён взлом сервера при остальных благоприятных
> факторах, не более того.мелочь и ерунда, подумаешь, ага.
до 2002го я был пользователем виндоус, и поэтому беззаботно отвечу - "да, мелочь и ерунда". Другое дело, если бы изначально относится к вопросу с высоты традиционно-высокого уровня безопасности юникс и юникс-лайк систем, тогда да, надо посыпать голову пеплом.
фу, постфикса нет)
Может, подскажете, как запустить ЭТО под Линукс? Так, чтобы оно еще и заработало?
> Может, подскажете, как запустить ЭТО под Линукс? Так, чтобы оно еще и
> заработало?Интегрировать троян в софтину и дождаться пока её добавят в стандартый репозиторий ?
Ага. И чтобы за это время никто ничего не нашел в исходниках, маитайнер пакета не посмотрел, что именно новое в коде, никто из загрузивших с сайта (а это квалифицироанные технари обычно) не увидел подозрительной активности в системе... ну-ну.
Да, еще чтобы это дело пропустили писатели SELinux-профиля для федоры и оно в то же время осталось рабочим... Как-то всё это слегка фантастично. То есть "что-то где-то" может и выстрелить на два дня, но погоды это никак не сделает.
>функция удаленной деактивации программ.Вот это зонд!
он во всех существующих платформах.
похоже, на потребительсокм устройстве без этого нельзя. В альтернативной гиковской прошивке - думаю, можно это поправить, а как иначе бороться со штуками вроде этого Планктона на смартфоне у Маши, которая ни черта в этом не понимает, я не представляю. Закладываться на то, что массовых заражений не будет - тоже слишком рискованно для коммерческой платформы. Так что выхода вроде и не видно. Скорее есть шансы, что в какой-нибудь Убунте что-то подобное появится. Впрочем, спецов всё это вряд ли коснётся - не думаю, что сию механику нельзя вырезать из собственной сборки.
На самом деле бороться вполне реально. И боряться! В большинстве линукс репозиториев есть мейнтейнеры которые за этим следят, хотя как показывает практика иногда у них бывают проколы. Не критичные, но сам факт.
Яблоко так вообще ввели режим жесткой цензуры на выкладываемые приложения. Хотя и там бывают проскакивают приложения с троянами.
На мой, субъективный, взгляд должно быть что-то среднее между этими двумя методами. То есть завести отдел который будет заниматься сугубо поиском всяких бяк. Просто майнтейнеры физически не всегда успевают отследить весь код (не потому что они плохие, просто у них куча других обязанностей), а жесткая цензура - это уже перебор. Вот и должно быть что-то среднее. И выкладывать в репы/маркеты пакеты только после утверждения этими двумя инстанциями: майнтейнером и отделом поиска вредоносных участков кода. И тогда даже таже Маша может спать спокойно. Вос всяком случае гарантия того, что к маше не приползёт чего-то левого будет если не 100%, то поднимется хотя бы до трёх девяток.
Опять же, это мой личное субъективное мнение.
> не потому что они плохие, просто у них куча других обязанностейКакая другая обязанность у майнтейнера пакета?
> Какая другая обязанность у майнтейнера пакета?Оффлайновая жизнь например.
>> Какая другая обязанность у майнтейнера пакета?
> Оффлайновая жизнь например.Нефиг! Сел за Linux - забыл мир!!!
>>> Какая другая обязанность у майнтейнера пакета?
>> Оффлайновая жизнь например.
> Нефиг! Сел за Linux - забыл мир!!!Откинется после отсидки - вспомнит... Но уже поздно будет...
Да это понятно, что можно мониторить (правда, для этого придётся требовать предоставление исходников для всего, что попадает в маркет - но вот Эппл так делает, и писатели софта терпят). Проблема в другом - если что-то как-то проскочит мимо - это будет слишком большой удар по репутации. А проскочить может массой всяких способов - к примеру, подгрузив скрипт из сети и выполнив его в своём интерпретаторе, официально предназначенном, скажем, для умных конфигов - ну там, lua какой-нибудь. Замучаешься более-менее сложную программу аудитить. Поэтому если переться на массовый рынок и претендовать на обеспечение безопасности у Маш (а не класть, как Майкрософт) - то механика принудительного удаления софта нужна. Но здесь возникает следующий вопрос - чтобы зловред не мог её вырезать на фиг, эта механика должна сидеть в гипервизоре или где-то около, либо у пользователя вообще не должно быть рута. В обычных линуксовых системах это как-то не принято. А вот гуглы сделали и то, и другое. И теперь я понимаю, почему. Не в свободе дело - просто если не хочешь, чтобы дистрибутив обосрали насмерть (а конкуренты очень постараются) и хочешь работать на массовом потребительском рынке - защищайся по максимуму.
Тьфу! Даже читать противно, в каждом слове - раб!
Так большинство пользователей и являются фактичеки "рабами" произвоителей софта и железа, и даже если им дать свободу они ее не захотят, предпочтя вернутся в "рабство", где не надо думать и полностью отвечать за свои действия.
И если кто-то пытается объективно рассмотреть и оценить сложившуюся ситуацию еще не значит что он ее поддерживает или согласен с ней.
> Так большинство пользователей и являются фактичеки "рабами" произвоителей софта и железа,Как и большинство покупателей в магазине - "рабы" этого магазина и производителей продуктов питания. Покупатели картошки- "рабы" египетской мафии, покупатели мандарин - "рабы" мароканских кортелей, абхазских и испанских бизнес-структур, покупатели шоколада - "фактически" "рабы" французских наркобаронов (есть в шоколаде интересный компонент :) Страшщное дело вообще, "фактически" "подсаживают на иглу эндорфина" с малых лет...
Но самые свирепые нарко-рабовладельцы в этом смысле - это клоуны в цирке. Проще всего поднять уровень эндорфина в крови - посмеятся... ой... я тоже стал нарко-рабом... :)))
Кстати, у мелкомягких тоже есть средство удаления вредоносных программ. Может даже уже в семёрке есть по умолчанию (не уверен, дальше хрюши венды не было). Занимается удалением различных вредоносных программ вроде Alcohole, Daemon Tools, различные активаторы, кейгены...
http://support.microsoft.com/?kbid=890830 - тыц
Комментарии полны людей не различающих gnu/linux и android/linux, печально.
И то и другое Linux, как ни странно :D
Как ни странно, тогда Linux это только ядро. А из новости следует, что эти трояны поражают тамошнюю жабную виртуальную машину, а не ядро.
> Как ни странно, тогда Linux это только ядро. А из новости следует,
> что эти трояны поражают тамошнюю жабную виртуальную машину, а не ядро.Странно аноним, а читать не умеет.
Из новости, что нашли возможность впилить вредоносный код внутрь легитимных приложений. И все ухищрения Гугла типа вывод списка доступа для приложения не спасают. Легитимные приложения хотят тоже довольно много - как минимум доступ в Инет для показа рекламы.
Некоторые из впилок вредоносного кода довольно умны и пользуясь доступом к СМС фильтруют СМС-ки и т.п. Сам darvik не сломан ;)
Для всех ясно и понятно объясняю, что в linuxe не может быть троянов, так как исходных код проверяется, а потом уже из него собирают пакеты, которые устанавливаются в систему, это касается основных дистрибутивов и ответственности разработчиков.
Для тебя лично объясняю - ты сам лично код каждой зависимости перед установкой проверяешь или хотя бы MD сверяешь? Выше немного ссылок на ЗАМЕЧЕННЫЕ взломы. Незамеченных скорее всего больше.
> Для тебя лично объясняю - ты сам лично код каждой зависимости перед установкой проверяешь или хотя бы MD сверяешь?Вам уже говорили, что есть закрытое ПО? Я просто думаю, что с таким подходом закрытое ПО у вас вызовет обширный инфаркт.
> Выше немного ссылок на ЗАМЕЧЕННЫЕ взломы.
Растолкуйте последствия, плиз. Пока супротив одного червя Моррисона (который был давно) мы имеет 100500 _пандемий_ среди windows.
> Незамеченных скорее всего больше.Можно узнать, на каком основании это утверждается? Или вы из этих, "при раскопках в древнеславянских поселениях не найдены следы медной проволоки, т.е. уже тогда наши предки использовали wifi"?
Тебе все надо разжевать и в рот положить? Если ты не можешь понять что наличие взломов опен сорс проектов доказывает, что взломы есть, о чем с тобой вообще можно говорить?
Несогласен. Взломы взломами но для взлома той же M$ знания нужны тривиальные, в случает *nix нужно иметь очень серьезную базу знании.
> Несогласен. Взломы взломами но для взлома той же M$ знания нужны тривиальные,
> в случает *nix нужно иметь очень серьезную базу знании.Занятное утверждение. Непонятно лишь, что автор хотел этим выразить. Программирование в Unix ничем принципиальным от Windows не отличается, соответственно и трудоёмкость написания трона и там, и там очень и очень сравнима. Линукс довольно долго пользовался преимуществами пресловутого Неуловимого Джо, но как наглядно демонстрирует инцидент с Андроидом, это не то преимущество, на которое стоит надеяться, а тем более надувать щёки.
>> Несогласен. Взломы взломами но для взлома той же M$ знания нужны тривиальные,
>> в случает *nix нужно иметь очень серьезную базу знании.
> Занятное утверждение. Непонятно лишь, что автор хотел этим выразить. Программирование
> в Unix ничем принципиальным от Windows не отличается, соответственно и трудоёмкость
> написания трона и там, и там очень и очень сравнима. Линукс
> довольно долго пользовался преимуществами пресловутого Неуловимого Джо, но как наглядно
> демонстрирует инцидент с Андроидом, это не то преимущество, на которое стоит
> надеяться, а тем более надувать щёки.Эммм. Когда я что-то ставлю, и оно говорит мне - "Чувак, я буду звонить и слать смски от твоего имени" - я отрубаю нах это дулю. Сломан не андроид и не линукс. Сломаны мозги хомячков. Хоть везде повесьте предупреждения - всё равно выстрел в ногу будет произведен. Я приучил свою девушку ВНИМАТЕЛЬНО читать, что пишут проги при попытке установиться на ее мобилку. Ушло 20 минут. Если что - гуглит. Мозги надо фиксить.
> Тебе все надо разжевать и в рот положить? Если ты не можешь понять что наличие взломов опен сорс проектов доказывает, что взломы есть, о чем с тобой вообще можно говорить?Ой, вот только не надо валить с больной на здоровую. Взломы есть, были и будут. Но вот что из этого следует - это надо сформулировать и аргументировать. Не в силах - платок на роток и не жужжи.
> Для тебя лично объясняю - ты сам лично код каждой зависимости перед
> установкой проверяешь или хотя бы MD сверяешь? Выше немного ссылок на
> ЗАМЕЧЕННЫЕ взломы. Незамеченных скорее всего больше.Вычислить барабашку не так уж и сложно. Можно в реальном времени посмотреть на активность установленного и запущенного приложения, а также сохранить логи для доказательства наличия недокументированных возможностей. Например, с помощью команды netstat. Очень удобно, и в исхониках рыться не надо.
Подождём, когда народ начнёт массово логи выкладывать, мол, глядите-ка, софт из репозиториев плохо себя ведёт.
>> Для тебя лично объясняю - ты сам лично код каждой зависимости перед
>> установкой проверяешь или хотя бы MD сверяешь? Выше немного ссылок на
>> ЗАМЕЧЕННЫЕ взломы. Незамеченных скорее всего больше.
> Вычислить барабашку не так уж и сложно. Можно в реальном времени посмотреть
> на активность установленного и запущенного приложения, а также сохранить логи для
> доказательства наличия недокументированных возможностей. Например, с помощью команды
> netstat. Очень удобно, и в исхониках рыться не надо.
> Подождём, когда народ начнёт массово логи выкладывать, мол, глядите-ка, софт из репозиториев
> плохо себя ведёт.Мне вот интересно как ты отследишь так троян который включается 1 раз в 13 июня? Или который включается по команде создателей? У тебя нет личной жизни и ты сидишь и смотришь логи и нетстат? Мне тебя жаль.
> Мне вот интересно как ты отследишь так троян который включается 1 раз
> в 13 июня? Или который включается по команде создателей? У тебя
> нет личной жизни и ты сидишь и смотришь логи и нетстат?
> Мне тебя жаль.А мне интересно, какой вирусописатель будет клепать малварь, которая включается 1 раз в 13 июня. Или раз в пять лет.
Аноним, просмотреть логи за пару-тройку дней и определить, нет ли левых исходящих подключений - 10 минут. Если для тебя это такая трудная задача, что надо тратить на неё всё свободное время, то мне тебя тоже жаль.
>> Мне вот интересно как ты отследишь так троян который включается 1 раз
>> в 13 июня? Или который включается по команде создателей? У тебя
>> нет личной жизни и ты сидишь и смотришь логи и нетстат?
>> Мне тебя жаль.
> А мне интересно, какой вирусописатель будет клепать малварь, которая включается 1 раз
> в 13 июня. Или раз в пять лет.
> Аноним, просмотреть логи за пару-тройку дней и определить, нет ли левых исходящих
> подключений - 10 минут. Если для тебя это такая трудная задача,
> что надо тратить на неё всё свободное время, то мне тебя
> тоже жаль.Ну вот допустим за последние сутки браузер обратился к нескольким тысячам сайтов в интернете по порту 80.
Как определить какое их этих обращений было санкционированным, а какое- результат работы трояна внедренного в браузер?
> Ну вот допустим за последние сутки браузер обратился к нескольким тысячам сайтов
> в интернете по порту 80.
> Как определить какое их этих обращений было санкционированным, а какое- результат работы
> трояна внедренного в браузер?Сравнить историю браузера и историю реальной активности?
Я даже знаю что вы ответите - мол троян будет в историю писать - я угадал? :)))
>> Ну вот допустим за последние сутки браузер обратился к нескольким тысячам сайтов
>> в интернете по порту 80.
>> Как определить какое их этих обращений было санкционированным, а какое- результат работы
>> трояна внедренного в браузер?
> Сравнить историю браузера и историю реальной активности?
> Я даже знаю что вы ответите - мол троян будет в историю
> писать - я угадал? :)))Ну вот у меня Мозилла, по умолчанию (незнаю, может это где-то настраивается, я ничего такого не настраивал) - в хистори пишет только то, что было набрано в адресной строке браузера...а вот та куча всего разного-интересного что грузится со странички - в хистори не попадает. Поэтому сравнивать хистори браузера и файрвола - бессмысленно, в хистори браузера не будет много-много чего...
Ну хорошо, браузер может и хранит подробный лог всего что загружал, и его как-то можно выдернуть...но как быть с тем софтом что лог "того что грузится внутри странички" не ведет? Например текстовый или pdf редактор?
> Ну хорошо, браузер может и хранит подробный лог всего что загружал,
> и его как-то можно выдернуть...но как быть с тем софтом что
> лог "того что грузится внутри странички" не ведет? Например текстовый
> или pdf редактор?Тут ещё проще - они вообще наружу не должны лезть и всякие там selinux'ы их попытки должны пресекать на корню.
> Ну вот допустим за последние сутки браузер обратился к нескольким тысячам сайтов
> в интернете по порту 80.Если браузер за сутки обратился к нескольким тысячам сайтов, то это уже само по себе ненормально :) Живой человек столько сайтов не откроет, ему так много не надо :)
Кстати, да.С помощью wireshark помониторил активность хромума... что-то он на какие-то левые адресы по XMPP порту шлёт, что-то зашифрованное по https. Кто-нибудь знает что это такое и как его выключить?
PS. Вся синхронизация в настройках отключена. Запускается хромиум и ничего не делается... куда-то что-то шлёт.
> Кстати, да.
> С помощью wireshark помониторил активность хромума... что-то он на какие-то левые адресы
> по XMPP порту шлёт, что-то зашифрованное по https. Кто-нибудь знает что
> это такое и как его выключить?
> PS. Вся синхронизация в настройках отключена. Запускается хромиум и ничего не делается...
> куда-то что-то шлёт.Это могут быть обновления антифишинговых баз. Насколько я помню, они в версии для Линукса тоже качаются (наверное, чтобы домохозяйки с Ubuntu на фишинг не попадались). Но только странно, почему по xmpp. Можно попробовать отключить антифишинговую проверку. Не прекратится - значит, зонд от "корпорации добра".
> Для тебя лично объясняю - ты сам лично код каждой зависимости перед
> установкой проверяешь или хотя бы MD сверяешь?Сейчас подписи даже в слаке автоматом проверяются :)
> Сейчас подписи даже в слаке автоматом проверяются :)А в арче вот, по слухам, нет. И не самый непопулярный дистр.
> Для всех ясно и понятно объясняю, что в linuxe не может быть
> троянов, так как исходных код проверяется, а потом уже из него
> собирают пакеты, которые устанавливаются в систему, это касается основных дистрибутивов
> и ответственности разработчиков.Могут, могут. Как разработчик заявляю. Мы тоже люди и тоже ошибаемся.
За собой троянов не припомню, а вот застрявший на тестировании пакет с затычкой для remote root в mod_ssl в 2003 был...
Да полная вся это херня. Когда линукс станет более-менее популярным, т.е. когда его не будут сразу сносить при покупке нетбука и им начнут пользоваться кучи школьников будет у линукса полная жопа и вирусов и троянов и бэкдуров и чего хотите. Вот андроид набрал популярность и повалило. Нет никакой разницы между андроидом и убунту в этом смысле.
> Нет никакой разницы между андроидом и убунту в этом смысле.Разница принципиальная. В Android Market любой может добавить свою программу, вся ответственность лежит на авторе, сломали машину автора - смогут загрузить троян на Android Market. Плюс исходники никто не требует и не смотрит.
В репозиториях Linux-дистрибутивов все иначе, список программ фиксированный и чтобы добавить дополнительную программу в репозиторий, программа действительно должна зарекомендовать себя. Если софт полезный её поддержкой в репозитории занимается сторонний майнтейнер, за работой которого следят еще пару десятков энтузиастов. Каждое изменение и каждый патч внимательно изучается. Базовый код приложения в пакете сверяется с эталонными контрольными суммами. Взломать аккаунт майнтейнера на порядок сложнее, это не 1000 леменгов за 5 минут написавших 1000 приложений, это зарекомендовавший себя многолетним трудом профессионал. Даже если пароль перехватят и попытаются от имени майнтейнера залить троян, его достаточно быстро вычислят еще до попадания пакета в репозитории, которыми пользуются конечные пользователи.
> Если софт полезный её поддержкой в репозитории занимается сторонний майнтейнер,
> за работой которого следят еще пару десятков энтузиастов. Каждое изменение и
> каждый патч внимательно изучается.то-то у бебиана патчи кроворукого недомаинтайнера OpenSSL спокойно себе жили. внимательно, видать, изучается.
> то-то у бебиана патчи кроворукого недомаинтайнера OpenSSL спокойно себе жили. внимательно,
> видать, изучается.В случае с OpenSSL вина больше на разработчиках OpenSSL, чем на авторе патча. В OpenSSL не соизволили снабдить комментарием критически важный участок кода, который со стороны выглядел как ошибка. Дебиановцы увидели, что в openssl забыли очистить память после выделения, ну они взяли и вставили код для обнуления буфера, откуда им знать, что эта память затем где-то дальше в коде будет ипользоваться для инициализации случайных чисел. Код там достаточно запутанный, не исключено, что рано или поздно разработчики OpenSSL сами бы на эти грабли напоролись.
В качестве примера лучше подходит случай с OpenBSD и информацией о внедрении бэкдора в стек IPSec. Понятно, что теоретически внедрение в репозитории не исключено, но это требует огромных ресурсов и проведения большой работы в области социальной инжинерии. Мелким пакостникам и троянописателям такое не по плечу, они слишком очевидные ляпы допускают, даже когда почти достигли желаемой цели (примеры - взломы Apache, Fedora, ProFTPD, sourceforge).
> откуда им знать, что эта память затем где-то
> дальше в коде будет ипользоваться для инициализации случайных чисел.в нормальных местах за кривой патч и «оправдание» типа «а откуда я знал, что это надо?» выгоняют сразу же, с позором. потому что не лезь корявыми руками туда, где ничего не понимаешь. *особенно* в важный компонент безопасности.
> в нормальных местах за кривой патч и «оправдание» типа «а откуда я
> знал, что это надо?» выгоняют сразу же, с позором. потому что
> не лезь корявыми руками туда, где ничего не понимаешь. *особенно* в
> важный компонент безопасности.В нормальных местах подобное не очевидное поведение в коде обязательно снабжают комментарием, иначе это грязный и недокументированный хак, который и получил в конечном счете по заслугам.
> В нормальных местах подобное не очевидное поведение в коде обязательно снабжают комментарием,
> иначе это грязный и недокументированный хак, который и получил в конечном
> счете по заслугам.ещё раз: не понимаешь -- не лезь. вот и всё.
Да ерунда это наивная. Все будет так же как и с виндой. Куча людей полезет вконтактик, где им предложат скачать программу для повышения рейтинга и вип-аватарки. Другие получат спам с заманчивым предложением в pdf-файле и т.д. Они для этого введут любой пароль и никакое судо не поможет. Все механизмы те же самые что в винде. Или вы думаете что юзер, отключающий все предупреждения в винде, будет их читать в линуксе? И кстати, репозитории тоже весьма уязвимое место ;)
> В репозиториях Linux-дистрибутивов все иначеВы немножко слишком идеалистичного мнения о живых людях, которые имеют доступ на запись к репозиториям. Не следует ставить на пьедестал, им это не полезно, да и ожидания формирует не соответствующие реальности. Тем паче обобщая на "репозитории Linux-дистрибутивов", а не говоря из личного опыта о каком-либо конкретном дистрибутиве (возможно, для команды того же Owl Ваши дифирамбы более-менее применимы -- но я бы не советовал их петь и в том случае).
Молодцы, прогресс не стоит на месте.
Трояны для Андроида результат продукта идиотской гугловой политики в отношении Андроид-маркета и наплевательского отношения к пользователям и разработчикам:
1. Большую apk'шку через маркет установить нельзя, если она не влазит в буфер загрузки (который для разных моделей разный) - суши весла. В результате крупные приложения (напр. игры с кучей текстур) докачивают себя по частям. Приложения хотят инет.
2. Навязывание встроенной рекламы. Приложения хотят инет.
3. Отсутствие хоть какой-бы то ни было встроенной защиты от копирования платных приложений кроме сервера лицензий. Приложения хотят инет.
4. Невозможность проверки пользовательского хардвара на уровне маркета (который ARM у него? есть Neon? а VFP3 D16 или D32? или только VFP2?) в результате чего те кто хочет использовать ресурсы на полную мощность: плееры, игры вынуждены либо тащить кучу so'шек под каждую платформу отдельно, либо напрягать пользователя что-то докачивать ручками либо докачивать втихую сами. Приложения хотят инет.
----
Вот таким вот нехитрым образом гугль заставляет легальные приложения вести себя типичным для троянов образом (внедрились и докачали все необходимое). И попробуй их отличи хоть вручную хоть автоматом: все самое интересное ведь в подгружаемой части.
Ну да, логично.Вопрос только - каким должен быть более разумный механизм...
Появление червей в помойке ― вопрос времени. Дальше будет веселее.
> Появление червей в помойке ― вопрос времени. Дальше будет веселее.Золотые слова! Философичекие! :)
меня всегда "убивало" в андроиде то, что "...перед началом установки программы для платформы Android инсталлятор явным образом предупреждает пользователя о задействовании в приложении дополнительных функций..."
А ПОЧЕМУ, ЁКЛМН ! нет возможности просто проставить галочки напротив тех функций которые я хочу доверить использовать приложению ??? ВОТ ПОЧЕМУ ?
>ВОТ ПОЧЕМУ ?Потому что загрузку рекламы отключите и будете не в курсе чего где купить очень нужное. "Забота о пользователе" короче говоря.
> меня всегда "убивало" в андроиде то, что "...перед началом установки программы для
> платформы Android инсталлятор явным образом предупреждает пользователя о задействовании
> в приложении дополнительных функций..."
> А ПОЧЕМУ, ЁКЛМН ! нет возможности просто проставить галочки напротив тех
> функций которые я хочу доверить использовать приложению ??? ВОТ ПОЧЕМУ
> ?Именно. И причём для нежелаемых пунктов должна быть возможность подсунуть фейк - ну там, липовые SMS при попытках доступа к сохранённым SMS, липовая отправка их же, липовый IMEI, липовые координаты, на запрос инета отвечать 404 на любой http и выкидывать пакеты других протоколов...
Замечтались вы. Это помешало бы делать на платформе деньги.
Кстати появилась программа реализующая эти возможности: "LBE Privacy Guard"
http://4pda.ru/forum/index.php?s=8f947662c8a085a608abb0bcae3...Вот только у меня лично нет уверенности, что эти наши Китайские друзья не запихнули туда какой-нибудь бекдор. Программа бесплатна, донейта не просят, исходники публиковать не хотят. Странно всё это.
А вообще полноценно такое реализовать можно, навеное, только в кастомной прошивке.
Надежда есть:
http://www.opennet.me/opennews/art.shtml?num=28319
Оно-то предупреждает, только толку? Все приложения требуют выхода в инет хотя бы для рекламы. И sd-карточку хотят(якобы для отладочных целей лог скидывать итп). И так со всеми функциями. С самого начала это было ясно. Знакомый девелопер вообще все пермишены в проге запросил. На вопрос почему ответил "я в этом не разбираюсь, мне так удобно". В ситуации когда 99% прог требуют инет(для рекламы или просто девелопер чудак) просто глупо спрашивать согласен я или нет. Я-то не согласен, но что я могу сделать? apk-файл руками править?
Короче, в зад такую защиту. Я хочу селективно разрешать доступ к файлам и узлам в инете(кроме браузера, конечно).
Android это linux + dalvik, а gnu/linux это совсем другое, для тех кто тут пытается сравнить. Вирусы есть и будут когда платформа популярна, а android популярнее чем gnu/linux + концепция скачал-установил хрен знает откуда как в M$ дает о себе знать. Поставил недавно cyanogenmod, там появилась фича управления разрешениями, очень удобно. И вообще попастся очень глупо, на винде без ав сколько лет сидел, ни разу не ловил никакой гадости, а тут нужно просто внимательнее смотреть разрешения, которые требует прога.
а тут нужно просто внимательнее смотреть разрешения, которые требует
> прога.Совсем не факт. Если программа использует root эксплоит она может вообще ничего при установке не запрашивать, а в итоге получить полный доступ. И кстати нежелание гугла давать нормальный root доступ пользователю только стимулирует появление таких эксплоитов.
Проблема в отсутствии нормального коммерческого софта под андроидом. Простейший редиалер , например, зачем-то требует возможности записывать данные контактов и и читать идентификационные данные телефона. Сканер штрихкодов тоже требует явно не то что ему нужно. И сделать ничего нельзя, так как альтернатив мало. Пользоваться доступом в банк страшно, не пользоваться неудобно. Живём как на пороховой бочке :)
Интересно, а тогда каково количество вредноноснаго ПО под мобильную версию винды? А то я даже и антивирусы под нее видел (а они ничего там не могут пропускать?). И все же- все вышеперечисленное- это очень даже мало по сравнению с тем, что есть под XP.
Ну это пока что...
Под андроидом троянцы имеют дело с реальными деньгами... под XP максимум в ботнет подсадят.
Говорящее название :D
как всегда всех вас надо учить. вина маркета в том что в нем хранятся проги с троянами только опосредованная и заключается в том что он является средством массового хранения и распространения ПО - как следствие привлекает разработчиков вредоносного кода. Но в маркете есть один положительный момент это то, что при установке приложения можно увидеть список разрешений необходимых приложению, что как бэ намекае что не стоит ставить ПО сомнительного разработчика с завышенными требованиями к ресурсам. Но хомячки сразу забугуртят мол как же мы узнаем будет ли приложение посылать мои личные данные налево или нет, ответ никак ровно как и вдругой любой платформе при отсутствии исходных кодов приложения. В противовес на этой вашей венде мобильной вообще не известно что ставишь и никто не жужит, хотя наверняка так же трояны присутствуют. Подитожу да маркет является благоприятной СРЕДОЙ для распространения вредоносного ПО ввиду его популярности и безграмотности конечного пользователя. Решение - устанавливать ПО только проверенных известных разработчиков, маловероятно что разработчик троянов будет запиливать свой сайт с блэкджеком и т д.
есть решение ещё лучше: не ставить гнилую проприетарщину вообще.
Предприимчивая молодёжь зарабатывает:) Где есть возможность урвать денежку с юзера, всегда найдётся и человек, который этой возможностью воспользуется... Всё нормально, это лучшее подтверждение популярности Android.
Вот тут про этого троянца подробно написали: http://www.holmogorov.ru/index.php?option=com_content&task=v...