Comments 50
А ещё это учит правильно писать «паранойя» в ответ всем, кто учитывает эти риски и не держит основную почту на бесплатных сервисах, отказывается от частных мессенджеров (скайп, вотсап, т.п.) в ползу распределённых и открытых (Jabber), не опирается на Evernote, не держит крупные суммы в банках и не даёт им (а так же фирмам) свои данные сверх необходимого.
Ведь всё это «паранойя» или «да кому ты нужен?» =)
Ведь всё это «паранойя» или «да кому ты нужен?» =)
> не держит основную почту на бесплатных сервисах,
Платные тоже не застрахованы от подобных проблем.
> отказывается от частных мессенджеров (скайп, вотсап, т.п.) в ползу распределённых и открытых (Jabber)
А что делать в том случае, когда все нужные контакты (клиенты, коллеги, друзья и т.д.) про Джаббер не слышали, знают только про скайп и ничего менять не собираются?
> не держит крупные суммы в банках и не даёт им (а так же фирмам) свои данные сверх необходимого
А какие тут есть еще варианты? Держать наличку/золото под матрасом?
Платные тоже не застрахованы от подобных проблем.
> отказывается от частных мессенджеров (скайп, вотсап, т.п.) в ползу распределённых и открытых (Jabber)
А что делать в том случае, когда все нужные контакты (клиенты, коллеги, друзья и т.д.) про Джаббер не слышали, знают только про скайп и ничего менять не собираются?
> не держит крупные суммы в банках и не даёт им (а так же фирмам) свои данные сверх необходимого
А какие тут есть еще варианты? Держать наличку/золото под матрасом?
Ко всему нужно подходить с умом, без фанатизма) А так Вы правы =)
яд
Я добавлю:
Почта: на платных или если настройщик знакомый (ты или кто), есть ответственный и есть возможности взаимодействия, в т.ч. «открытый пароль — зло, бум хранить хеши. О, stunnel крут, его на почту и яббер»)
Jabber: минимизирую такое общение. Стаскиваю в гугл толк, даю новый акк к ябберу. Особый респект людям, которые (деятельно) не супротив (для меня это позитивный признак))
Суммосброды: Никогда не доверял банкам, потому что за 20 лет сознательной жизни никто не дал рецепта, как взыскать с них свои деньги с гарантией) Да, наличка. А золото… Наше гос-во умеет взыскивать, сделают, как во время депрессии и нет золота! Но было бы круто. Прятать и/или защищать как есть варианты =)
Почта: на платных или если настройщик знакомый (ты или кто), есть ответственный и есть возможности взаимодействия, в т.ч. «открытый пароль — зло, бум хранить хеши. О, stunnel крут, его на почту и яббер»)
Jabber: минимизирую такое общение. Стаскиваю в гугл толк, даю новый акк к ябберу. Особый респект людям, которые (деятельно) не супротив (для меня это позитивный признак))
Суммосброды: Никогда не доверял банкам, потому что за 20 лет сознательной жизни никто не дал рецепта, как взыскать с них свои деньги с гарантией) Да, наличка. А золото… Наше гос-во умеет взыскивать, сделают, как во время депрессии и нет золота! Но было бы круто. Прятать и/или защищать как есть варианты =)
А что делать в том случае, когда все нужные контакты (клиенты, коллеги, друзья и т.д.) про Джаббер не слышали, знают только про скайп и ничего менять не собираются?
А если все вокруг бухают, сопьетесь тоже? Если ничего не делать, чтоб изменить окружение, то оно и не поменяется. К тому же я более, чем уверен, что многие из нужных контактов думают так же как и вы. В смысле, что все контакты в ХХХ, поэтому буду юзать только ХХХ. Так что кто-то должен начинать.
Да, такой подход особенно хорошо работает в случае с клиентами.
Нужно выбирать между комфортом и безопасностью.
Как актуально в наше время.
Как актуально в наше время.
А где Фэппенинг? (сколько от него пострадало людей, даже боюсь представить)
Взломы никогда не прекратятся. Технологии идут вперед, возможные лазейки появляются вместе с технологиями.
Интересно читать такие посты, как будто фильм посмотрел :)
Если использовать на всех сервисах разные пароли, то появляется проблема их хранения. Блокнот не всегда с собой, использовать сервисы еще опаснее. У меня есть несколько паролей, которые я долго запоминал. Их сложность зависит от возможных последствий потери доступа к аккаунту, но полностью это проблему не решает.
Если использовать на всех сервисах разные пароли, то появляется проблема их хранения. Блокнот не всегда с собой, использовать сервисы еще опаснее. У меня есть несколько паролей, которые я долго запоминал. Их сложность зависит от возможных последствий потери доступа к аккаунту, но полностью это проблему не решает.
Если использовать на всех сервисах разные пароли, то появляется проблема их хранения. Блокнот не всегда с собой, использовать сервисы еще опаснее
Keepass?
Именно. Только остается возможность написать вирус, который ворует файлы кипаса вместе с ключами и перехватом ввода мастер-пароля. Поэтому тут тоже нужно применять кастомные методики защиты кипаса. Я вот применяю ручную обфускацию при вводе мастер-пароля, например. Ну и сам кипас у меня переименован и перемещен, то есть боты, которые ищут тупо по имени процесса, его не найдут.
Только остается возможность написать вирус, который ворует файлы кипаса вместе с ключами и перехватом ввода мастер-пароля.
Нормальные ОС и работа с паролями в изолированной песочнице.
Пусть месье приведет пример нормальной ОС, принципиально устойчивой к вирусам. И еще пример песочницы, пожалуйста.
Ищущий, да обрящет. А на очередной холивар у меня разводиться желания нет. Могу только подсказать, что ОСей под которыми есть реальное малваре (множество включающее вирусы), а не «пользователь скачал хз что и откуда и сам установил с максимальными правами» (что антивирусные компании выдают за малваре, дабы пропихнуть свою продукцию на ОС, где их продукция не нужна), на самом деле меньшинство из распростаненных в текущее время.
Ну раз примера нормальной ОС нет, буду дальше использовать свой метод для защиты от стандартных методов кражи.
Опять проклятый Даннинг-Крюгер. Вы бы для начала хотя бы поверхностно поинтересовались вопросом перед тем как выдавать претенциозные «рекомендации».
Большое спасибо за совет и непредвзятую оценку моей квалификации. Вы не против, если я буду в будущем к Вам обращаться, если мне понадобятся подобные услуги?
Конечно, всегда пожалуйста: будет время — обязательно помогу. Стоить ли рассматривать Ваш «сарказм», как категорический отказ «хотя бы поверхностно поинтересоваться вопросом»?
категорический отказ «хотя бы поверхностно поинтересоваться вопросом»
Мельком изучив список Ваших статей (тут и на гиктаймс), уделив особенное внимание широчайшему множеству ОС, которые они затрагивают, я склонен поверить Вам на слово касательно своих заблуждений.
Ну право же, не стоит так подставляться. Нет, серьезно (Hint: еще раз перечитайте список Ваших собственных публикаций).
Но давайте все же поговорим предметно. Возьмем класс
реальное малваре (множество включающее вирусы), а не «пользователь скачал хз что и откуда и сам установил с максимальными правами»
и попробуем «хотя бы поверхностно поинтересоваться вопросом». В контексте данного топика нас интересуют только то «реальное малваре», которое привело либо к крупной утечке пользовательских данных либо к крупной эпидемии (пусть будет 0.5% популяции)
В качестве «ОС, распространенных на сегодня» возьмем Windows, OSX и Linux (используется в пределах погрешности измерения на «десктопах», но довольно широко распространена в некоторых других сегментах). Также возьмем мобильные ОС: Android, iOS и Windows Phone
1. Мобильные ОС можно сразу исключить из рассмотрения — ни по одной из платформ я не смог найти достоверной информации по «реальному малваре», которое бы привело к «реальному ущербу»
2. Windows — за последние 15 лет (включая Summer of Worms) я не смог обнаружить ни единого случая, когда «реальное малваре» (да-да, то которое может заразить полностью пропатченную ОС без явного согласия пользователя), которое бы привело к «реальному ущербу». Искренне надеюсь на Вашу помощь. Очень рекомендую «поверхностно поинтересоваться вопросом» перед тем как предлагать варианты.
3. OSX — есть как минимум Flashback который использовал 0-day уязвимость в «Apple Java» (на тот момент Sun Java была пропатчена, но Apple распространяла JRE по собственным каналам и в этом канале распространения патча еще не было — это на тот момент была историческая норма для Apple). Flashback привел к заражению 600к машин, что на тот момент составляло более процента популяции.
4. Linux. Здесь примеров полно. От червей в роутерах до крупных утечек данных (их десятки — могу привести еще, но можно ограничиться и утечкой 160 миллионов профайлов за раз).
Хотелось бы услышать про Ваш взгляд на то, что такое «нормальная ОС». Заранее спасибо
Но давайте все же поговорим предметно. Возьмем класс
реальное малваре (множество включающее вирусы), а не «пользователь скачал хз что и откуда и сам установил с максимальными правами»
и попробуем «хотя бы поверхностно поинтересоваться вопросом». В контексте данного топика нас интересуют только то «реальное малваре», которое привело либо к крупной утечке пользовательских данных либо к крупной эпидемии (пусть будет 0.5% популяции)
В качестве «ОС, распространенных на сегодня» возьмем Windows, OSX и Linux (используется в пределах погрешности измерения на «десктопах», но довольно широко распространена в некоторых других сегментах). Также возьмем мобильные ОС: Android, iOS и Windows Phone
1. Мобильные ОС можно сразу исключить из рассмотрения — ни по одной из платформ я не смог найти достоверной информации по «реальному малваре», которое бы привело к «реальному ущербу»
2. Windows — за последние 15 лет (включая Summer of Worms) я не смог обнаружить ни единого случая, когда «реальное малваре» (да-да, то которое может заразить полностью пропатченную ОС без явного согласия пользователя), которое бы привело к «реальному ущербу». Искренне надеюсь на Вашу помощь. Очень рекомендую «поверхностно поинтересоваться вопросом» перед тем как предлагать варианты.
3. OSX — есть как минимум Flashback который использовал 0-day уязвимость в «Apple Java» (на тот момент Sun Java была пропатчена, но Apple распространяла JRE по собственным каналам и в этом канале распространения патча еще не было — это на тот момент была историческая норма для Apple). Flashback привел к заражению 600к машин, что на тот момент составляло более процента популяции.
4. Linux. Здесь примеров полно. От червей в роутерах до крупных утечек данных (их десятки — могу привести еще, но можно ограничиться и утечкой 160 миллионов профайлов за раз).
Хотелось бы услышать про Ваш взгляд на то, что такое «нормальная ОС». Заранее спасибо
Перечитайте первую строчку моего коммента. Заранее спасибо.
А Вам наверное «бомбануло», раз Вас задело, что под какие-то ОС малвари почти нет. Лечить ее устали что ли? Наверное, Вы линуксоид, под Линукс же примеров полно.
Под нормальной же ОС, я, очевидно, имел ввиду Windows, под нее, всем известно, малваре не работает.
Под нормальной же ОС, я, очевидно, имел ввиду Windows, под нее, всем известно, малваре не работает.
О, ну наконец-то, пошли настоящие аргументы. Ну конечно же, Вы меня «затролели», у меня «бомбануло» и я теперь еще долго не смогу успокоиться.
Желаю удачи, но все же повторюсь со своей рекомендацией «хотя бы поверхностно поинтересоваться вопросом».
Желаю удачи, но все же повторюсь со своей рекомендацией «хотя бы поверхностно поинтересоваться вопросом».
О, ну наконец-то, пошли настоящие аргументы. Ну конечно же, Вы меня «затролели», у меня «бомбануло» и я теперь еще долго не смогу успокоиться
Мне пришлось потрудиться, чтобы найти аргументы под стать «исследованию» Вашему. Особенно впечатлило обилие источников для сравнения.
Я тоже повторюсь, что переписка с Вами, как ничто другое направило меня на путь истинный, поэтому поверю Вам на слово.
А на очередной холивар у меня разводиться желания нет.
Вне всяких сомнений!
Эт разве холивар? Я всего лишь соглашался с бесконечной мудростью оппонента и его бесконечно же объективных сравнений.
Адептам ОднойКонкретнойНаилучшейОси, к сожалению, доказывать что-то бесполезно.
Адептам ОднойКонкретнойНаилучшейОси, к сожалению, доказывать что-то бесполезно.
Верно подмечено! Особенно, если учесть, что вы единственный, кто тут намекал на какую-то «Нормальную ОС».
Я же вообще не знаю универсальных осей. Дома я работаю в одной оси, на серверах — в другой, на других серверах — в третьей. Если уж выражаться завуалированно…
Я же вообще не знаю универсальных осей. Дома я работаю в одной оси, на серверах — в другой, на других серверах — в третьей. Если уж выражаться завуалированно…
вы единственный, кто тут намекал на какую-то «Нормальную ОС».
Это ложь. Я говорил «нормальныЕ ОС». Их много на самом деле. Те, под которыми нету зоопарка малвари, как под некоторыми решетообразными.
Решетообразные не оси, а браузеры, через которые обычно малварь и проникает, либо юзер сам ее устанавливает. Чистых уязвимостей в сервисах операционки, чтобы можно было отправить эксплоит на некий уязвимый порт, очень и очень мало на любой оси. Уже не те времена.
Количество малвари характеризуется скорее популярностью системы, чем количеством дыр. Ботнет в 700к машин лучше монетизируется, чем ботнет из 100к машин.
А большинство серверов ломают через дыры, которые оставляют админы и программисты корпоративного софта, а не операционной системы.
Количество малвари характеризуется скорее популярностью системы, чем количеством дыр. Ботнет в 700к машин лучше монетизируется, чем ботнет из 100к машин.
А большинство серверов ломают через дыры, которые оставляют админы и программисты корпоративного софта, а не операционной системы.
То есть, я никак не отрицаю зоопарк малвари. Но если все люди пересядут на нормальные ос, проблема перейдет вместе с ними.
Сложно серьёзно относиться к постам и словам человека, который заявил, что настроенная винда без ущербных вирусов, а в линуксе их в любом случае полно.
Не потому, что это не так, а потому что сравнение дурацкое вышло: вот вам ракетоносец, он вылизан тысячами инженерами и прошёл тысячи проверок на всех технологических циклах. А вот многосекционная шлюпка. Первый плавает лучше.
Правильно настроенная ОС это уже 95% защиты от вирусов. Только вот… В большинстве случаев ОС настроена не правильно, что линкус, что виндовс, что убунта.
Не потому, что это не так, а потому что сравнение дурацкое вышло: вот вам ракетоносец, он вылизан тысячами инженерами и прошёл тысячи проверок на всех технологических циклах. А вот многосекционная шлюпка. Первый плавает лучше.
Правильно настроенная ОС это уже 95% защиты от вирусов. Только вот… В большинстве случаев ОС настроена не правильно, что линкус, что виндовс, что убунта.
Сложно серьёзно относиться к постам и словам человека, который заявил, что настроенная винда без ущербных вирусов, а в линуксе их в любом случае полно.
Во-первых я не заявлял ни того ни другого.
Я лишь отметил, что профиль распространения «настоящей малвари» (в соответствии с определением моего оппонента) несколько отличается от «общеизвестного». Пожалуйста, не приписывайте мне заведомо ошибочных суждений
Правильно настроенная ОС это уже 95% защиты от вирусов. Только вот… В большинстве случаев ОС настроена не правильно, что линкус, что виндовс, что убунта.
Да, но ведь речь идет о «абы как» (хорошо если по умолчанию, но ведь полно ж твикеров, зверсиди, отключателей апдейтов для того чтоб «активация не слетела» и прочих — и они все попадают в общую статистику) настроенном Windows и о Linux (я говорю обобщенно о всем стеке, а не только о ядре), который настраивают хорошо оплачиваемые профессионалы с многолетним стажем.
Если же сравнивать «apples to apples» — сервера на Linux против серверов на Windows, то есть очень существенный перекос (гораздо выше, чем можно было бы ожидать просто от распространенности технологий, даже учитывая нелинейность зависимости). В прошлый раз, когда я просил показать мне high-profile взломы серверов на основе Windows, то всплыл только T-Mobile. При том, что на Linux кого только не ломали — и kernel.org и linuxfoundation и savannah.gnu.org и redhat.com (дважды) и mysql.com и кучу других, не говоря уже о просто коммерческих/вебдваноль вендорах типа target, gawker, sony, hyper-vm и пр…
На всякий случай: я не спорю, что Linux можно захарденить практически до непробиваемости (к примеру, я не думаю, что Google будет так или иначе взломан в обозримом будущем), но все таки это весьма нетривиально (не думаю, что у RedHat или kernel.org не хватило денег либо опыта в Linux для того, чтобы предотвратить взломы).
Немного не так понял, пардон, а что тогда на счёт регина?
А у кого запрашивали high-profile взломы серверов?
И приведена ли удельная статистика, а не только абсолютная? (ибо если винды мало или практически нет, то это по сути ответ)
И что вообще считается взломом ОС?
И вот взломов ОС (вирусы) как бы преполно, если убрать убунту (ибо не линукс) то взломов линуксов маловато (большая часть на бэкдоры роутеров падает)
А у кого запрашивали high-profile взломы серверов?
И приведена ли удельная статистика, а не только абсолютная? (ибо если винды мало или практически нет, то это по сути ответ)
И что вообще считается взломом ОС?
Термины которым учили
(раньше считал, как учили, что это проникновение в ОС с получением неограниченных прав (рут, админ). Если же проникновение было «под юзером» (а обычно апачи-фигачи под иными юзерами работают), то это взлом приложения, юзера, но не ОС.)
И вот взломов ОС (вирусы) как бы преполно, если убрать убунту (ибо не линукс) то взломов линуксов маловато (большая часть на бэкдоры роутеров падает)
Я подумал, что за песочницы холиваров еще не видел, поэтому на эту тему могу предложить как простейший вариант: разделять броузер, keepass(x) и обычную работу по разным пользователям системы, естественно не обладающих максимальными правами. То, что Вы предлагаете похоже на security thru obscurity, что, как известно, порочная техника.
Следующий этап — это «легкая виртуализация» (обратите внимание на кавычки). Есть ОС, в которых программу можно запустить в своем личном окружении, одной несложной командой. Вот с помощью нее опять же отделяем броузер от всей остальной системы. Но, я честно признаюсь, практический опыт у меня только по первому пункту. Этот этап чисто теоретический, так как мне хватает и первого.
Кстати, как в вашем случае защититься от вируса, который логирует все содержимое буфера обмена? Или еще лучше содержимое буфера обмена сразу после очередного изменения и скриншот экрана?
Следующий этап — это «легкая виртуализация» (обратите внимание на кавычки). Есть ОС, в которых программу можно запустить в своем личном окружении, одной несложной командой. Вот с помощью нее опять же отделяем броузер от всей остальной системы. Но, я честно признаюсь, практический опыт у меня только по первому пункту. Этот этап чисто теоретический, так как мне хватает и первого.
Кстати, как в вашем случае защититься от вируса, который логирует все содержимое буфера обмена? Или еще лучше содержимое буфера обмена сразу после очередного изменения и скриншот экрана?
Согласен с методом разделения прав приложений. Запускаю программы под разными пользователями, с разными привелегиями (например браузеры). Если под легкой виртуализацией вы имеете в виду sudo -u guest browser, то да, такой способ гораздо удобнее «полной виртуализации», особенно на слабых нетбуках.
От буфер-снифинга, к сожалению, я защиты не придумал, поэтому ввожу мастер-пароль руками с обфускацией. Таким образом, остаются незащищенными только те пароли, которые я использую копипастом (хотя и не все, ибо кипас поддерживает обфусцировнное автозаполнение полей в запомненных по заголовкам окнах).
Получается, что вирус должен продумать несколько вещей, чтобы похитить базу паролей:
— рут, ибо из под гостя не побалуешься
— распознавать кипас не по именам, а по сигнатурам
— кейлогер с функцией записи координат кликов мыши, против ручной обфускации
От буфер-снифинга, к сожалению, я защиты не придумал, поэтому ввожу мастер-пароль руками с обфускацией. Таким образом, остаются незащищенными только те пароли, которые я использую копипастом (хотя и не все, ибо кипас поддерживает обфусцировнное автозаполнение полей в запомненных по заголовкам окнах).
Получается, что вирус должен продумать несколько вещей, чтобы похитить базу паролей:
— рут, ибо из под гостя не побалуешься
— распознавать кипас не по именам, а по сигнатурам
— кейлогер с функцией записи координат кликов мыши, против ручной обфускации
Включите secure desktop для мастер пароля. Если злоумышленник сможет вытащить пароль оттуда, то система все равно уже не ваша — можете перестать беспокоиться :-)
Кстати, хром/хромиум и IE используют очень качественные песочницы для запуска недоверенного кода. Исследователи оттуда периодически выбираются, но для злоумышленников это пока нецелесообразно.
Кстати, хром/хромиум и IE используют очень качественные песочницы для запуска недоверенного кода. Исследователи оттуда периодически выбираются, но для злоумышленников это пока нецелесообразно.
Не до конца понял. Предлагаете привязать файл паролей к конкретной операционной системе?
Файлы останутся совместимыми. Я предлагаю настроить KeePass под «конкретной ОС» так, чтобы получить бОльшую часть преимуществ работы под отдельными пользователями и практически без неудобств. Если ту же базу нужно использовать под Linux/OSX то для достижения подобного эффекта таки придется пользоваться отдельным пользователем.
Да уж, практически без неудобств.
Я каждый день бекаплю файл базы паролей на сервер бекапов, а теперь вы предлагаете еще виндовый SAM файл из винды выковыривать и туда заливать, на случай, если вдруг винда сдохнет, либо накроется диск, и я бы смог восстановить свой файл паролей? А процедура восстановления на случай поломки винды там предусмотрена?
И еще вопрос. Каким образом этот привязанный к винде файл я открою на работе или смартфоне?
Я каждый день бекаплю файл базы паролей на сервер бекапов, а теперь вы предлагаете еще виндовый SAM файл из винды выковыривать и туда заливать, на случай, если вдруг винда сдохнет, либо накроется диск, и я бы смог восстановить свой файл паролей? А процедура восстановления на случай поломки винды там предусмотрена?
И еще вопрос. Каким образом этот привязанный к винде файл я открою на работе или смартфоне?
А нет, похоже я смешал оба способа в один. Не в теме, и не понимаю отличия запуска в своем окружении. Когда я запускаю первым способом, окружение и так подхватывается, поэтому мне сложно узреть разницу
То, что Вы предлагаете похоже на security thru obscurity, что, как известно, порочная техника.
Да. Но за отсутствием идей, ничего лучше предложить не могу.
Спасибо за более предметный разговор.
Разные пользователи помогут от части атак, но далеко не ото всех. У того же KeePass есть опция, которая спрашивает мастер пароль в другой сессии — фактически проникнуть туда без повышения привилегий все равно нельзя. Собственно, эта опция помогает противостоять подавляющему большинству атак, против которых помогает отдельный пользователь и не помогает в случаях, когда отдельный пользователь тоже бессилен. И при этом secure desktop практически не влияет на удобство использования keepass.
chroot — небезопасен. Его нельзя использовать для ограничения доступа. Вот пара ссылок. По большому счету я бы и «настоящей» виртуализации не слишком бы доверял, если бы меня паранойя замучила («не слишком» — это только в случае запуска недоверенного кода на доверенном хосте, но в виртуалке, если же хост потенциально скомпрометирован, то любая виртуалка на нем точно также скомпрометирована). Только физическая изоляция — только хардкор.
Здесь опять же нужно моделировать угрозы. Если речь идет о массовом сборе паролей, то вполне можно допустить, что когда-нибудь (когда это станет экономически целесообразно) будет использоваться модуль автоматического вытаскивания паролей из популярных менеджеров паролей. Простая обфускация keepass в этом случае отлично помогает, хотя, как Вы отметили, и является security through obscurity. Делать же постоянные снимки буфера обмена да еще и скриншоты — попросту не масштабируется и, соответственно, такие угрозы в ближайшем будущем ожидать не стоит.
Второй возможный вид угрозы — таргетированная атака конкретно на Вас лично. Ну в таком случае вообще никакая ОС общего назначения не поможет.
Разные пользователи помогут от части атак, но далеко не ото всех. У того же KeePass есть опция, которая спрашивает мастер пароль в другой сессии — фактически проникнуть туда без повышения привилегий все равно нельзя. Собственно, эта опция помогает противостоять подавляющему большинству атак, против которых помогает отдельный пользователь и не помогает в случаях, когда отдельный пользователь тоже бессилен. И при этом secure desktop практически не влияет на удобство использования keepass.
chroot — небезопасен. Его нельзя использовать для ограничения доступа. Вот пара ссылок. По большому счету я бы и «настоящей» виртуализации не слишком бы доверял, если бы меня паранойя замучила («не слишком» — это только в случае запуска недоверенного кода на доверенном хосте, но в виртуалке, если же хост потенциально скомпрометирован, то любая виртуалка на нем точно также скомпрометирована). Только физическая изоляция — только хардкор.
Кстати, как в вашем случае защититься от вируса, который логирует все содержимое буфера обмена? Или еще лучше содержимое буфера обмена сразу после очередного изменения и скриншот экрана?
Здесь опять же нужно моделировать угрозы. Если речь идет о массовом сборе паролей, то вполне можно допустить, что когда-нибудь (когда это станет экономически целесообразно) будет использоваться модуль автоматического вытаскивания паролей из популярных менеджеров паролей. Простая обфускация keepass в этом случае отлично помогает, хотя, как Вы отметили, и является security through obscurity. Делать же постоянные снимки буфера обмена да еще и скриншоты — попросту не масштабируется и, соответственно, такие угрозы в ближайшем будущем ожидать не стоит.
Второй возможный вид угрозы — таргетированная атака конкретно на Вас лично. Ну в таком случае вообще никакая ОС общего назначения не поможет.
От общей социальной инженерии ОС вообще помочь не может, а от таргетированных атак ОС может помочь не усугублять ситуацию, или, проще говоря, поднимать цену вопроса. Так при наличии скайпа на линухе, яндекс диска или многих других фоновых приложений с закрытым кодом в линухе, а так же всё подряд на винде делает вопрос атаки достаточно дешёвым.
Стоит начать следовать правилам ОС, то эффективность одних начинает резко поднимать цену перед другими.
Если к этому подключить комплекс мер по внутренней локальной сети (перепрошивка роутеров на проверенные и достоверные прошивки, разделение сетей WiFi и сети десктопов, перекрытие всех портов на внешнем роутере и т.д.) то в одних случаях (Линукс) возможно заломить поднебесную цену вопроса, а в других (Вин и Мак) принципиально невозможно. (Вин — регин, Мак — не для секретов в принципе)
Стоит начать следовать правилам ОС, то эффективность одних начинает резко поднимать цену перед другими.
Если к этому подключить комплекс мер по внутренней локальной сети (перепрошивка роутеров на проверенные и достоверные прошивки, разделение сетей WiFi и сети десктопов, перекрытие всех портов на внешнем роутере и т.д.) то в одних случаях (Линукс) возможно заломить поднебесную цену вопроса, а в других (Вин и Мак) принципиально невозможно. (Вин — регин, Мак — не для секретов в принципе)
Из-за того, что соц инженерия — наиболее частый вектор проникновения, люди и придумывают всякие SafeBrowsing/SmartScreen. До некоторой степени помогают также антивирусы. В целом ставки постоянно поднимаются, но ситуация выглядит более-менее стабильной — существенного перевеса нет ни у одной из сторон.
Про повышение цены вопроса согласен.
Вы очень сильно ошибаетесь. Причем в обеих оценках.
Про повышение цены вопроса согласен.
то в одних случаях (Линукс) возможно заломить поднебесную цену вопроса, а в других (Вин и Мак) принципиально невозможно.
Вы очень сильно ошибаетесь. Причем в обеих оценках.
Сервис
Если и сервис, то работающий на локальной машине и с доступным исходным кодом, в отличие от многих.
Воу-воу, я за opensource =) В отличии от тех 17 человек. Но сервис это риск технологии взлома. (веб-сервис это ИМХО не риск, а гарантия, открытости и доступности данных, поэтому веб сервис можно не рассматривать, как угрозу, равно как и отбойный молоток в голову, как угрозу жизни)
Я угадать должен какой вы сервис имеете в виду? Локальный демон или веб-сервис?
Sign up to leave a comment.
Чему нас научили 5 крупнейших хакерских атак 2014 года