snvoronkov Опубликовано 28 июня, 2017 · Жалоба ...и венду начнут массово щемить, как минимум с банкоматов... Вот я из банка подался практически одновременно с массовым втюхиванием NT на место полумуха. И все из-за ленивых разрабов дров... Я что-то не уверен, что история настолько циклична. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 июня, 2017 · Жалоба Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном. Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось. Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 28 июня, 2017 · Жалоба Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном. Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось. Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится. Странно да,но в Unix оно как-то приживается? Может вопрос в компетенции/планке ответственности... Там (Windows) administrator может писать,куда заблагорассудиться; в Unix - root... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 июня, 2017 · Жалоба Ок,д'Артаньян,предложи свое решение? Я пошел за поп-корном. Я уже 2 раза написал: сделано правильно, ничего менять не надо. Если посмотришь в svn, то kib там работает совместно с Коксом и самими разработчиками эксплойта. Ну хз, мне пока не до таких изысков :) На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check https://habrahabr.ru...ky/blog/331524/ Вся конструкция UEFI Secure Boot была придумана для предотвращения в том числе и подобного. Другое дело, что оно страшное получилось. Т.е. записать MBR или аналог что попало админ, конечно, сможет, но только после этого оно не запустится. На самом деле стало только веселее. 1. Семёрка не ставит уефи загрузчик, вроде как 2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца. 3. уефи хреновину накорябать сильно проще чем то что у пети под мбр - достаточно скомпелять и закинуть на фат32 раздел получившийся фалик, а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 июня, 2017 · Жалоба На на хубре как раз писали что вроде как пересобрать систему и проги с -fstack-check Э? А разве в шланге этот флаг есть? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 28 июня, 2017 · Жалоба Я уже 2 раза написал: сделано правильно, ничего менять не надо Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 июня, 2017 · Жалоба На самом деле стало только веселее. Ну я и говорю, что оно страшное вышло. 2. Секуребут часто выключен, ну те у меня его вообще нигде нет, потому что мне не впёрлось возится с подписыванием загрузчика и забиванием этого в бивис, учитывая что я загрузчик обновляю вместе с системой, те не реже раза в 3 месяца. Забивать в материнку нужно же только ключ, которым подписываешь. Делается один раз при сборке системы. Вот загрузчик подписывать - да, каждый раз надо. 3. а ещё был где то подписанный мс загрузчик с дебагом, который умеет запускать что угодно так что секуребут бесполезен на почти везде А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 июня, 2017 · Жалоба Э? А разве в шланге этот флаг есть? :-) -fsanitize=safe-stack -fstack-check есть последний вроде как вообще со всеми портами щас включается при сборке. Давай,расскажи это конечным потребителям: жертвам Petya и Misha. Они как конечные потребители с тобой на ура согласны,ага. Софт - это ведь тоже продукт. Ты серьёзно такой дурак или тролишь? Оно там получило права админа, админ полюбому должен иметь возможность работы с дисками. Но даже если бы имел, то ставить дрова админу никто не запрещает, дальше пришлось бы добыть валидный сертификат для софта и накорябать драйвер для вкорячивания его по ближе к диску и записать через него что угодно в обход ОС. В итоге результат был бы ровно тот же для юзера и куча епли с софтом для админов. Они и так бедненькие там в венде страдают от отсутствия вменяемых бесплатных системных утилит, а так бы вообще ничего не было, даже WinHEX бы не работал, и утилиты для восстановления удалённых файлов тоже по хуже/меньше были. А это вот биг фейл всей задумки. Недодумали. По уму никаких ключей по умолчанию "от МС" в мамки прошито не должно было быть. Но с юзабилити тогда - беда. Тогда венда не заработает %) А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу. Гады там всё наращивают аппаратные уровни куда юзер добраться не может никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 28 июня, 2017 (изменено) · Жалоба Ты серьёзно такой дурак или тролишь? Нет,я жду когда ты спасешь человечество,скоморох :))) P.S. Типа такого,но в ит:https://www.youtube.com/watch?v=kvNJzTm6e0E Изменено 28 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 июня, 2017 · Жалоба Тогда венда не заработает %) Почему не заработает? Заработает - просто нужно будет предварительно шасси объяснить, что да-да, вот конкретно этой подписи я доверяю. А насчёт удобства, мне в принципе EFI нравится, вот секуребут нет, ибо всё идёт к ДРМ, когда я не смогу делать на компе всё что захочу. Оно идет только тогда, когда ключи заранее стоят. Если же не ставить - то идет в другую сторону. В общем, кто ключ доступа пишет - тот и главнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 28 июня, 2017 (изменено) · Жалоба Ты серьёзно такой дурак или тролишь? Ваня,не валяй дурака ты заипал. Тут все все прекрасно понимают, не первый год в айти замужем. Ей богу. Бл..ть,с тобой шутишь - ты все серьезно воспринимаешь. Давай я буду специально для тебя ставить смайлики в нужных местах,ок? Изменено 28 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 29 июня, 2017 · Жалоба secureboot требует, чтобы были подписаны все модули BIOSа, т.е. такие UEFI-драйвера как VGA, SATA и прочие low-level. сейчас они на всех компах с secureboot подписаны сертификатом мелкомягких. т.е. если из shim удалить сертификат мелкомягких удалить, то secureboot не будет. из этого следует, что в ходе эксплуатации кое-кто-нехороший может запихать во флешку с UEFI BIOS ещё один package с нехорошим UEFI-драйвером, подписанным сертификатом мелкомягких. и никто этого не заметит. много в этом всём "секурности"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 июня, 2017 · Жалоба Насколько я понимаю, всё что в биосе подписано вендором и его ключём, его ключ удалить нельзя. Сам бивис подписан ключом зашитым в платформу=железо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 29 июня, 2017 · Жалоба А вот я опять сошлюсь на Opennet. Оно, конечно, не для винды. Всего-лишь для: За крутую надежность соплярки (хоть на спаркуе хоть на x86) очень классно показал список ломаных ЦРУшниками серверов. 7/8 из которых были под соляркой. У нас с вымогателем тоже зацепило. В городе пять заправок РосНефти прикурили. При том буквально перед этим они у себя провели оптимизацию для "зарезания костов и выправления ебидттьтьтвоюнелево". Названивают уволившимуся бывшему работнику, рассказывают за командный дух. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 29 июня, 2017 · Жалоба Ждем того дятла, который разрушит цивилизацию? После недавней "ласточки", вторая? Или, уже не ласточка, а что-то побольше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 июня, 2017 · Жалоба Это наоборот хорошо, повышает сознательность и ответственность. Слишком уж все расслабились за последние лет 30-50: то доступ вообще не закроют, то пароль простой, то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда), то под админом работают на десктопах, то говнокодят код и конфиги, то какие то докеры и готовые вертуалки качают невесть откуда, говнокод в виде тонны скриптов на каждом сайте с котиками.... То что сейчас это следствие того что ИТ занимаются на ***ись люди без мозгов, а другие их подгоняют чтобы делали по быстрее да по дешевле. Ну вот теперь появилось средство как заставить всех этих дебилов заплатить более грамотным людям. Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 29 июня, 2017 · Жалоба Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров. :-) Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 29 июня, 2017 · Жалоба Для полной красоты осталось чтобы ещё облака попадали с такими же симптомами и полной утратой данных, это будет красиво и поучительно для хипстеров. Так была же история эпичного факапа какого-то git/svn-хостера, помножившего на ноль клиентские репозитарии. Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 29 июня, 2017 · Жалоба то сервисов куча наружу открытая стоит (хоть и с паролями, не всегда), А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 июня, 2017 · Жалоба Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком Ну а чо, нормально. Секурность не поднимали, не апдейтились. Там, правда, дело в радиусе изгиба рук у персонала, но клиентам было нескучно, особенно у кого проекты были на SVN Не понял, почему любителям SVN хуже пришлось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 29 июня, 2017 · Жалоба А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные. Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 29 июня, 2017 · Жалоба А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные. Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе. Вот-вот. Сталкивался с просьбой: сделайте мне г...но, но за такую цену. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 29 июня, 2017 (изменено) · Жалоба А все почему? Поставил вася линукс и думает: это же суперзащищенная ОС,так все говорят,я слышал. Априори суперзащищенная,значит делать ничего не надо. Постоянно с такими сталкиваюсь. Нет,вася,чтобы ОС была суперзащиненная нужно минимизировать так называемую "поверхность атаки" - ты хотя бы глянь,что у тебя за сетевые сервисы наружу торчат и отключи ненужные. Лично у меня больше вопросов к нанимателям васи возникает чем к самому васе. А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix". Фраза "защищенные ОС" (они типа априори защищенные,ага) - уже диагноз,особенно когда версия ОС легко палиться через фингерпринтинг какого-нибудь netcraft.com. Далее ищется эксплойт итд.... Ну вы знаете,пока петух жареный в попу не клюнет. P.S. Да что-тут долго разглагольствовать,читайте. Изменено 29 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 июня, 2017 · Жалоба А у меня не возникает. Особенно,когда слышу это из уст админов госконтор. "Наши сервера работают под защищенными ОС семейства Unix". Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны. Что при кривых руках админа - всё равно что нету ничего. Вообще федералы - они сильно разные, у неких филиалов и админов нету от слова совсем, аналогично и у филиалов всероссийских сетей, даже банковских :) Из последнего - чтобы заменить сдохший медиаконвертор в банчке, в представителях был местный руководитель филиала и две гориллы-охранника. Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 29 июня, 2017 (изменено) · Жалоба Вот уж хрен, они говорят что используют сертифицированные фстэк и прочими межсетевые экраны Которые отключают потом,ибо "не работает нормально из-за него"? Видел и такое. Получается фаервол на бумаге. Вообще федералы - они сильно разные Проходил тут МРТ недавно. Предложили выслать на электронку. На мой вопрос: "Вы отправите мне в смысле на *@mail.ru? А ниче,что это незащищенный канал связи?",ответили "Ну многим же так это удобно,особенно иногородним". Ниче,что это ПДН К1 класса? Сбера - не касается, но и дел особых с ними нету - но мощная сб, сквозь которую по ит-вопросам пробиться очень сложно. Не знаю,про какой ты Сбер,но мне безопасник оттуда как-то отправил запароленный архив вместе с паролем в одном письме. Я долго угарал. Изменено 29 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...