Jump to content
Калькуляторы

GroupIB: "Мало кто помнит, что заказ или организация DDoS - это уголовное преступление"

Честно, я не понял, что вы подразумеваете под юзабилити ? ИМХО, софт должен делать то, что он должен делать, не более.

 

В том то вся проблема, что 100% способа для OS отличить браузер от почтового клиента нет. Вот запустился файлик "ААА.exe". Если он сам про себя должен рассказать, что он почтовая программа или браузер, то он расскажет, что он Пара Римский, ибо "у нас джентльменам верят на слово". Если в OS должна быть база по программам, то идут лесом все сторонние разработчики. (да здравствует мак!!!, то то их айфоны так любят ломать, на предмет поставить, что то еще, чего нет в списке у мака, но хочется, а это еще не массовый аппарат, будет массовым, ломать будут 50%, что вынесет всю возможность защититься от вирусов нахер.)

 

Кстати виндовз 7 и виста требуют чтобы драйвера устройств были подписаны... Знаете как их иногда хочется за это "поблагодарить" тихим добрым словом? И что в итоге ? Правильно, эта фича отрубается и ставится нужный драйвер. А это всего то драйвер. Их не так много как программ. Драйвера на каждом повороте не пишут.

Share this post


Link to post
Share on other sites
Видите ли, Вы, ясно видя как исправить частности - не видите более системную картину в целом. Вам кажется, что количество исправленных частностей может перейти в качество безопасности.
Я не предлагаю исправлять частности - для чтого уже полно "костылей" в виде разных фареволов, антивирусов и подобного. Это уже етсь. Я предлагаю кардинально менять систему взаимодействия софта и операционной системы. Это, скорее, оргмероприятия, только в рамках ОС и ПО.

 

 

Они грузятся как динамические библиотеки.
И? Что им мешает пропатчить сам браузер на лету и заниматься после своими делами?
Как вы представляете такую возможность: плагин двойного назначения ? В любом случае, система не даст грузить то, что не подписано, и откуда делать kldload() не разрешено.
Edited by bitbucket

Share this post


Link to post
Share on other sites
Как вы представляете такую возможность: плагин двойного назначения ?
Зачем двойного? Одиночного, на чём будет честно написано - "Посмотреть сиськи ...." (подставить нужную особь для целевой аудитории), "Взлом всего интернета" или ещё что-нибудь. Пользователь сам на всё согласится

PS: слово "кардинально" пишется так, а не через две буквы о

Share this post


Link to post
Share on other sites
В том то вся проблема, что 100% способа для OS отличить браузер от почтового клиента нет. Вот запустился файлик "ААА.exe". Если он сам про себя должен рассказать, что он почтовая программа или браузер, то он расскажет, что он Пара Римский, ибо "у нас джентльменам верят на слово".
А не должно быть понятия AAA.exe. Есть понятие "Браузер". И для его запуска надо провести его установку, которая будет включать в себя те мероприятия, о которых я писал выше.

 

А сделать систему, которая будет надежно защищена, но при этом где можно запустить все что угодно в виде AAA.exe - невозможно.

 

Если в OS должна быть база по программам, то идут лесом все сторонние разработчики. (да здравствует мак!!!, то то их айфоны так любят ломать, на предмет поставить, что то еще, чего нет в списке у мака, но хочется, а это еще не массовый аппарат, будет массовым, ломать будут 50%, что вынесет всю возможность защититься от вирусов нахер.)
iphone уже довольно массовый аппарат в своем сегменте рынка. И ломают его не 50% , а меньше 10% юзеров (пруфлинк на цифры был на iphones.ru). И то что apple проверяет, чем действительно занимается программа, которую выставляют в appstore - это правильно. Ну и на разнообразие софта для iphone я бы не жаловался.

 

Кстати виндовз 7 и виста требуют чтобы драйвера устройств были подписаны... Знаете как их иногда хочется за это "поблагодарить" тихим добрым словом? И что в итоге ? Правильно, эта фича отрубается и ставится нужный драйвер. А это всего то драйвер. Их не так много как программ. Драйвера на каждом повороте не пишут.
Винды не обсуждаются - повторюсь: там все изначально плохо. Ну а отсутствие подписи на драйвер скорее лень разработчиков драйвера. Хотя есть случаи, когда вирье ходило с подписью (реалтека).

 

Share this post


Link to post
Share on other sites
Зачем двойного? Одиночного, на чём будет честно написано - "Посмотреть сиськи ...." (подставить нужную особь для целевой аудитории), "Взлом всего интернета" или ещё что-нибудь.
Вы про частные случаи говорите. Если юзер действительно захочет - он отключит все ограничения и будет делать что ему нравится. Остановить такого юзера невозможно. И, скорее всего, такого юзреа остановит уже ids провайдера, после того, как его комп начнет "шалить". А если у юзера еще и деньгу уведут из вебмани - то юзер однозначно одумается, прежде чем отключать защиту системы. Хотя есть случаи, где уже не лечится.

 

ИМХО, я все же надеюсь, что появится нормальный дистрибутив linux или freebsd, где будет полноцено использоваться заложенная в ОС способность ограничивать ПО до определенных рамок. Минимальные подвижки уже видны, но пока еще рано о них говорить как о свершившемся факте.

Edited by bitbucket

Share this post


Link to post
Share on other sites
И то что apple проверяет, чем действительно занимается программа, которую выставляют в appstore - это правильно.
Угу, проверяет :D

http://www.storefrontbacktalk.com/social-n...le-mayhem-omen/

Вы про частные случаи говорите
Это самый общий случай, никаких проблем скомпрометировать приложение и пройти через предлагаемую "защиту" нет, социальная инженерия рулит

Share this post


Link to post
Share on other sites
И то что apple проверяет, чем действительно занимается программа, которую выставляют в appstore - это правильно.
Угу, проверяет :D

http://www.storefrontbacktalk.com/social-n...le-mayhem-omen/

Это они быстро исправят: дыру в сафари заделали за неделю. Ну и про "проверку местположения" - оно выполняется только после подтверждения пользователем. Если бы у меня игрулька на iphone спросила бы запрос на определение местоположения - то сразу бы пошла в корзину, как софт двойного назначения. А в apple поехала бы абуза на софт.

 

Это самый общий случай, никаких проблем скомпрометировать приложение и пройти через предлагаемую "защиту" нет, социальная инженерия рулит
Она рулит в рамках правил, которые есть сейчас. Изменив чти правила изменится и ситуация, когда возможны "человеческие пробои", назовем их так. Не будет у юзера возможности поставить "грязный" софт - не будет и "пробоя".

 

Share this post


Link to post
Share on other sites

Не будет у юзера возможности поставить "грязный" софт - не будет и "пробоя".

Юзер скажет - ах, тут не ставится мой любимый "грязный" тулбар от вконтактика, нахрен такую ОС, и вся мегабезопастность пойдёт лесом :)

Share this post


Link to post
Share on other sites
Не будет у юзера возможности поставить "грязный" софт - не будет и "пробоя".
Юзер скажет - ах, тут не ставится мой любимый "грязный" тулбар от вконтактика, нахрен такую ОС, и вся мегабезопастность пойдёт лесом :)

Нет просто в текстовичке с тулбаром будет пошаговая инструкция как настроить sudo для тулбара.

Share this post


Link to post
Share on other sites
Не будет у юзера возможности поставить "грязный" софт - не будет и "пробоя".
Юзер скажет - ах, тут не ставится мой любимый "грязный" тулбар от вконтактика, нахрен такую ОС, и вся мегабезопастность пойдёт лесом :)
Если вконтакт кочет быть белым и респектабельным (коим на самом деле не является), то он сможет себе позволить сделать нормальную программу. Сделав тулбар двойного назначения его производитель, ИМХО, больше потеряет, когда об этом узнают. А когда с его помошью и денег тыранут - вообще будет интересно.

 

Не идет речь о тотальном запрете - задача исключить запуск кода без ведома юзера: хочешь тулбар, ставь, никто не мешает. Главное - что бы тулбар выполнял функции, которые он должен выполнять по своему описанию, без двойной нагрузки. Будет двойная нагрузка - будет понятно, кто и зачем ее делал. Если же двойная нагрузка появится в случае пробоя - ну так система не даст ее выполнить, так как изначально оно не предполaгалось.

Edited by bitbucket

Share this post


Link to post
Share on other sites

bitbucket

в бубунте кстате, в ufw правила пакетом добавляются.

по умолчанию он(ufw) отключен. может тестят чего или побаиваются эффекта отваливания.

но после включения ничего страшного не происходит - все сервисы на компе - работали.

Edited by karpa13a

Share this post


Link to post
Share on other sites
Нет просто в текстовичке с тулбаром будет пошаговая инструкция как настроить sudo для тулбара.
А потом пользователь откроет ссылку с vikontakte.ru, и зловред выполнится от root-а, с разрешения пользователя конечно, тогда то мы и услышим про дырявый Линукс :D
задача исключить запуск кода без ведома юзера
Дыры в системе отменили? Ах да, это же Линукс, там всё хорошо, я забыл :D
Точно, топик надо переносить в юмор :))))))
;)

Share this post


Link to post
Share on other sites
Точно, топик надо переносить в юмор :))))))
Да, действительно... Пока время для обсуждения подобных вещей еще не пришло.

 

Share this post


Link to post
Share on other sites
ограничить РУТ ? но как ?
Не пускать браузер под рутом. Административный юзер только для администрации. Это легко делается через freebsd mac/selinux. Про винду не знаю.

Никогда не гуглил после краха системы? ;-)

 

Картина маслом. на машине стоит антивирус, вываливает на попытку отправить письмо с вирусом окно. И пользователь сидит и жмет "продолжить".
Не давать юзеру отсылать вирус. Не спрашивать: можно или нет. Сразу прибивать задачу. Процент ложных срабатываний антивируса сейчас довольно мал, при наличии дополнительных проверок на происхождение контента (если мы говорим про почту, например), т.е. откуда взято письмо, почему там аттач в виде .exe и т.д. вероятность обнаружения вирья можно еще повысить.

Сомневаюсь, что такая защита продержится больше недели. Будет выкорчевана с корнем. И поделом.

Share this post


Link to post
Share on other sites

Никогда не гуглил после краха системы? ;-)

А зачем ? Есть соседний комп. Да и что гуглить ? Как система работает и что нтам не так понятно и без гугля.

Edited by bitbucket

Share this post


Link to post
Share on other sites

Ну в эпоху ноутбуков и смартфонов - соглашусь, что гуглить можно с других девайсов, но длинные строки...

 

А заранее знать,что случилось, - повод соломки подстелить.

Share this post


Link to post
Share on other sites
Ну в эпоху ноутбуков и смартфонов - соглашусь, что гуглить можно с других девайсов, но длинные строки...
Я вообще не знаю, что можно гуглить при креше системы.

 

Share this post


Link to post
Share on other sites

Ну чего, талантливые ребята срубили бабла, продав свое имя. Прикол в том, что талант не масштабируется. Джоел об этом как-то очень хорошо написал: http://russian.joelonsoftware.com/Articles...eNakedChef.html

 

Сколько там работало народу? Человека четыре, писали? Собственно, можно было бы просто взять их на работу, но было бы не так много шума. А так прямо мегасделка по поглощению, да...

Share this post


Link to post
Share on other sites

Что-то нехорошая тенденция однако: сначала серия статей от разных компаний по защите от DDoS, сейчас статья про первую ласточку свободно продаваемого сервиса для органзации DDoS'а. И говорят, что дальше будет хуже :(

Прям рэкет 90х, плати нам и мы тебя крышуем, не хочешь платить - тебя заддосят. Как ранее обсуждалось, пора видимо уже примыкать к какому-нибудь клану :)

Share this post


Link to post
Share on other sites

Прям рэкет 90х, плати нам и мы тебя крышуем, не хочешь платить - тебя заддосят. Как ранее обсуждалось, пора видимо уже примыкать к какому-нибудь клану :)

Собственно, ничем не отличается от истории возникновение структур власти IRL. "Бог создал людей разными, а Кольт уровнял их в правах" (с) народ США. Потом появились шерифы, полиция, и прочие государственные институты с переменным успехом борящиеся за души и кошельки граждан с институтами менее государственными, типа церкввей всех видов, крупных ОПГ и мелкой местной братвы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this