[snvoronkov]

...и венду начнут массово щемить, как минимум с банкоматов...

Вот я из банка подался практически одновременно с массовым втюхиванием NT на место полумуха. И все из-за ленивых разрабов дров...

 

Я что-то не уверен, что история настолько циклична. :-)

[Sergey Gilfanov]

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось.

 

Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

[fspi]

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось.

 

Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

 

Странно да,но в Unix оно как-то приживается? Может вопрос в компетенции/планке ответственности... Там (Windows) administrator может писать,куда заблагорассудиться; в Unix - root...

[Ivan_83]

Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном.

Я уже 2 раза написал: сделано правильно, ничего менять не надо.

 

Если посмотришь в svn, то kib там работает совместно с Коксом и самими разработчиками эксплойта.

Ну хз, мне пока не до таких изысков :)

На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check

https://habrahabr.ru...ky/blog/331524/

 

Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось. Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится.

На самом деле стало только веселее.

1. Семёрка не ставит уефи загрузчик, вроде как

2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца.

3. уефи хреновину накорябать сильно проще чем то что у пети под мбр - достаточно скомпелять и закинуть на фат32 раздел получившийся фалик, а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде

[snvoronkov]

На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check

Э? А разве в шланге этот флаг есть? :-)

[fspi]

Я уже 2 раза написал: сделано правильно, ничего менять не надо

 

Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт.

[Sergey Gilfanov]

На самом деле стало только веселее.

Ну я и говорю, что оно страшное вышло.

2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца.

Забивать в материнку нужно же только ключ, которым подписываешь. Делается один раз при сборке системы. Вот загрузчик подписывать - да, каждый раз надо.

3. а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде

А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда.

[Ivan_83]

Э? А разве в шланге этот флаг есть? :-)

-fsanitize=safe-stack -fstack-check есть

последний вроде как вообще со всеми портами щас включается при сборке.

 

Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт.

Ты серьёзно такой дурак или тролишь?

Оно там получило права админа, админ полюбому должен иметь возможность работы с дисками.

Но даже если бы имел, то ставить дрова админу никто не запрещает, дальше пришлось бы добыть валидный сертификат для софта и накорябать драйвер для вкорячивания его по ближе к диску и записать через него что угодно в обход ОС.

В итоге результат был бы ровно тот же для юзера и куча епли с софтом для админов. Они и так бедненькие там в венде страдают от отсутствия вменяемых бесплатных системных утилит, а так бы вообще ничего не было, даже WinHEX бы не работал, и утилиты для восстановления удалённых файлов тоже по хуже/меньше были.

 

А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда.

Тогда венда не заработает %)

А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу.

Гады там всё наращивают аппаратные уровни куда юзер добраться не может никак.

[fspi]

 

Ты серьёзно такой дурак или тролишь?

 

Нет,я жду когда ты спасешь человечество,скоморох :)))

 

P.S.

Типа такого,но в ит:https://www.youtube.com/watch?v=kvNJzTm6e0E

Изменено 28 июня, 2017 пользователем fspi

[Sergey Gilfanov]

Тогда венда не заработает %)

Почему не заработает? Заработает - просто нужно будет предварительно шасси объяснить, что да-да, вот конкретно этой подписи я доверяю.

 

А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу.

Оно идет только тогда, когда ключи заранее стоят. Если же не ставить - то идет в другую сторону. В общем, кто ключ доступа пишет - тот и главнее.

[fspi]

 

Ты серьёзно такой дурак или тролишь?

 

Ваня,не валяй дурака ты заипал. Тут все все прекрасно понимают, не первый год в айти замужем. Ей богу. Бл..ть,с тобой шутишь - ты все серьезно воспринимаешь. Давай я буду специально для тебя ставить смайлики в нужных местах,ок?

Изменено 28 июня, 2017 пользователем fspi

[zurz]

secureboot требует, чтобы были подписаны все модули BIOSа, т.е. такие UEFI-драйвера как VGA, SATA и прочие low-level. сейчас они на всех компах с secureboot подписаны сертификатом мелкомягких.

т.е. если из shim удалить сертификат мелкомягких удалить, то secureboot не будет.

 

из этого следует, что в ходе эксплуатации кое-кто-нехороший может запихать во флешку с UEFI BIOS ещё один package с нехорошим UEFI-драйвером, подписанным сертификатом мелкомягких. и никто этого не заметит. много в этом всём "секурности"?

[Ivan_83]

Насколько я понимаю, всё что в биосе подписано вендором и его ключём, его ключ удалить нельзя.

Сам бивис подписан ключом зашитым в платформу=железо.

[taf_321]

А вот я опять сошлюсь на Opennet. Оно, конечно, не для винды. Всего-лишь для:

За крутую надежность соплярки (хоть на спаркуе хоть на x86) очень классно показал список ломаных ЦРУшниками серверов. 7/8 из которых были под соляркой.

 

У нас с вымогателем тоже зацепило. В городе пять заправок РосНефти прикурили. При том буквально перед этим они у себя провели оптимизацию для "зарезания костов и выправления ебидттьтьтвоюнелево". Названивают уволившимуся бывшему работнику, рассказывают за командный дух.

[SergeiK]

Ждем того дятла, который разрушит цивилизацию?

После недавней "ласточки", вторая?

Или, уже не ласточка, а что-то побольше?

[Ivan_83]

Это наоборот хорошо, повышает сознательность и ответственность.

Слишком уж все расслабились за последние лет 30-50: то доступ вообще не закроют, то пароль простой, то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда), то под админом работают на десктопах, то говнокодят код и конфиги, то какие то докеры и готовые вертуалки качают невесть откуда, говнокод в виде тонны скриптов на каждом сайте с котиками....

То что сейчас это следствие того что ИТ занимаются на ***ись люди без мозгов, а другие их подгоняют чтобы делали по быстрее да по дешевле.

Ну вот теперь появилось средство как заставить всех этих дебилов заплатить более грамотным людям.

 

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

[snvoronkov]

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

 

:-)

 

Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

[taf_321]

Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров.

Так была же история эпичного факапа какого-то git/svn-хостера, помножившего на ноль клиентские репозитарии. Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN

[fspi]

то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда),

 

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

[Ivan_83]

Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Ну а чо, нормально.

Секурность не поднимали, не апдейтились.

 

Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN

Не понял, почему любителям SVN хуже пришлось?

[NikAlexAn]

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

[ayf]

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

 

Вот-вот. Сталкивался с просьбой: сделайте мне г...но, но за такую цену.

[fspi]

А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные.

Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе.

 

А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix". Фраза "защищенные ОС" (они типа априори защищенные,ага) - уже диагноз,особенно когда версия ОС легко палиться через фингерпринтинг какого-нибудь netcraft.com. Далее ищется эксплойт итд.... Ну вы знаете,пока петух жареный в попу не клюнет.

 

P.S. Да что-тут долго разглагольствовать,читайте.

Изменено 29 июня, 2017 пользователем fspi

[YuryD]

А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix".

Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны. Что при кривых руках админа - всё равно что нету ничего. Вообще федералы - они сильно разные, у неких филиалов и админов нету от слова совсем, аналогично и у филиалов всероссийских сетей, даже банковских :) Из последнего - чтобы заменить сдохший медиаконвертор в банчке, в представителях был местный руководитель филиала и две гориллы-охранника. Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно.

[fspi]

Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны

 

Которые отключают потом,ибо "не работает нормально из-за него"? Видел и такое. Получается фаервол на бумаге.

 

Вообще федералы - они сильно разные

 

Проходил тут МРТ недавно. Предложили выслать на электронку. На мой вопрос: "Вы отправите мне в смысле на *@mail.ru? А ниче,что это незащищенный канал связи?",ответили "Ну многим же так это удобно,особенно иногородним". Ниче,что это ПДН К1 класса?

 

Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно.

 

Не знаю,про какой ты Сбер,но мне безопасник оттуда как-то отправил запароленный архив вместе с паролем в одном письме. Я долго угарал.

Изменено 29 июня, 2017 пользователем fspi