Вот так я и думал: приведу пример и 100% получу вопрос на тему «Как это сделать?». Если вас это интересует, то почему бы вам не найти эту информацию в интернет? А если хотите дальше пребывать в состоянии уверенности полной защиты, то мне вас не переубедить.
Прошу прощение, что неясно выразился. Не хотелось бы опускаться до конкретных примеров, потому как их придется долго описывать, объяснять «в чем тут прикол». В чем состоит уязвимость ПО? В том что разработчики не предусмотрели какую-то нестандартную ситуацию, при которой, например, (подчеркиваю, вариантов масса) приложение начинает выполнять код, находящийся в документе (запросе, по определенному адресу в памяти и т.д.). Мысль, которую я хотел выразить, состоит в том, что трояны — это необязательно экзешники, запускаемые из пользовательской папки.
Ну для убедительности, как пример, сценарий атаки: бухгалтеру приходит вызов в суд в виде pdf-файла, он (бухгалтер, даже если это она) открывает этот файл. Создается новый процесс, который инициируется adobe reader, в котором есть уязвимость, позволяющая выполнить участок бинарного кода после определенной инструкции в документе pdf (еще раз повторю — это пример).
Каким средством вы собираетесь избежать этой угрозы?
В принципе все правильно, но складывается впечатление, что автор работает в какой-то «стирильной» организации, где кроме 1С ничего нет. Да даже в этом случае, кто и как обновляет прикладное программное обеспечение. Вот ни за что не поверю, что у вас годами не обновляются шаблоны отчетов, запросов и т.д. Если автор не в курсе, то основной вредоносный код содержится не в экзешнике, а в скромненьком файлике (файликах), например, template1.dat, а экзешник всего-лишь создает процесс, загружает дат-файл в память, а потом передает управление скрытому коду (ну это так упрощенно). В таких случаях разницы между Windows 98 и 7 нет никакой, как и нет никакого смысла в ваших способах защиты — криптолокер словите за милую душу. Кстати, семерка тоже считается уже устаревшей с точки зрения безопасности. А вот про работу с пользователями — в самую точку. Я бы поставил это первым пунктом. Остальные пункты также важны, но важнее всего понимание угроз, которые на данный момент актуальны, а для этого нужно быть не только сисадмином, а еще и безопасником. Это отдельная специальность от системного администрирования, на которой в нашей стране экономят.
Прошу прощения, что неясно выразился. Я вообще-то говорил про тему статьи — сервер. На всякий случай поясню на примере. Берем:
корпус, например, 3Cott M01 (https://market.yandex.ru/product/8276424?hid=91028) — 3000 руб.;
материнскую плату, например ASRock Q1900B-ITX (https://market.yandex.ru/product/10789203?hid=91020) — 5000 руб.;
ОЗУ, например, Kingston KVR13S9S8/4 (https://market.yandex.ru/product/8367083?hid=191211) — 2х2000 руб.;
SSD, например, ADATA Premier Pro SP600 256GB (https://market.yandex.ru/product/10686964?hid=91033) — 7000 руб.
Итого 20 тыр. (если быть точным 19)
Если не трудно, то постарайтесь уделить внимание деталям, избегайте обобщений (если у вас были такие случаи менее 3 раз). Лишней информации не бывает, а тема многим интересна. Так что «приз в студию!»
В добавление к статье хочу сказать, что с бухгалтерскими программами, в т.ч. 1С, можно работать из облака — очень много предложений. 1С превосходно ставится и работает хоть под wine, хоть с толстым клиентом в Linux. Проблема привязки крипто-систем под Windows практически никак не решается (кроме как в облаке), и это не только сдача отчетности, а еще и интернет-банкинг, доступ к госсайтам (zakupki.gov.ru, gosuslugi), защищенное соединение ГОСТ типа Континент-АП или ВипНет.
Честно сказать не понял, где здесь Сапожник, и зачем он здесь нужен. Загрузка по сети — PXELinux. Инструменты подготовки Wim-образа? Или послеустановочные командные файлы?
Означает ли это, что после перезагрузки роутер приводится в исходное положение? Если да, то ваше мнение ошибочно, ибо именно uImage был залит мною через веб-интерфейс, после чего последовала ОБЯЗАТЕЛЬНАЯ перезагрузка. Если нет, то не могли бы вы пояснить своё утверждение.
2) Когда прошиваешь uImage, невозможно сохранить никакие настройки, например, пароль на root. Так что ФС доступна только на чтение.
Опять вы не правы: зашел телнетом поставил пароль, потом зашел ssh. Такое ощущение, что мы совсем о разном говорим.
3) Образ sysupgrade не стартует из RAM — в логах куча ошибок на невозможность создать ноды ФС JFFS2.
Вот честное слово: не понимаю о чем вы. Из ssh заходим под рутом, вводим команду sysupgrade -v xxx-sysupgrade.bin.
4) В прошитом образе sysupgrade видна инициализация JFFS2 на MTD устройстве. В uImage ее вроде бы нет.
Опять не могу с вами согласиться. А куда, скажите пожалуйста, я записал пароль рута? В squashfs? Бред, но можно конечно (копируем распакованную систему во временный каталог, упаковываем в squashfs, заменяем образ), правда похоже на удаление гланд через анальное отверстие.
Прошу прощения за то, что ввел вас в заблуждение. Полностью прошивка называется openwrt-ramips-rt305x-dir-320-b1-initramfs-uImage.bin, я подумал, что uImage — ubootimage. А sysupgrade накатывался с целью проверить, действительно ли у меня «один шанс», правильнее было бы вернуть заводскую прошивку, а потом обратно openwrt. Давайте еще разберемся вот с каким вопросом. Я всегда считал, что прошивка со словами sysupgrade предназначена для обновления openwrt, а не для перепрошивки с родной, в первую очередь потому, что не трогает настройки, в отличие от полной прошивки (со словом firmware). Я честно сказать не понял вашего объяснения, начиная со слов «настройки в таком образе хранить просто негде». Так чем же отличаются firmware, sysupgrade и uImage прошивки?
Спасибо за статью. После этой статьи нашел в загашнике этот одноразовый модем. «Все равно лежит зря» — подумал я, и решил проверить. «Не критики ради, а дополнения для» сообщаю: openwrt перепрошивается через родной web-интерфейс, правда я грузил прошивку с uboot, но потом обновил её с помощью sysupgrade, поэтому у меня есть сомнения в правдивости слов автора: «у вас есть одна попытка».
Если посмотреть на вашем сайте цены, то самым выгодным оказывается VipNet Office! Ваш продукт разработан специально, чтобы рекламировать VipNet Office?
Теперь замечания по статье. Вы хотя бы удосужились сообщить операционную систему, под которой работает ваша «Ладушка», я уж не говорю о технических характеристиках. Люди, которые поймут о чем ваша статья, наверняка, задают вопрос — а чем она лучше Трафик Инспектора или того же Випнет Офиса. Вы уверены, что в малых офисах существует только проблема ограничения скорости?
Извините не понял, что вы говорите про глюки. Такое оборудование я обычно отсеиваю, чтобы разобраться с ним позже. То есть из терминов статьи — некондиция. Самый наглядный пример — зависания Intel HD Graphics, сразу не понял в чем причина (драйвер, ОС или железо) потом уже разобрался (ставил дешевую видеокарту, чтобы интегрированная не работала) — глюки прекратились. А железо тогда было новое (на гарантии). То есть тут не важно сколько ему лет — сразу в некондицию, так как пользователи не должны из-за этого страдать.
Есть статистика?
Статистика собрана мною с предприятий, которые я обслуживаю, поэтому согласен признать её неверной, но возьмите количество серверов на вашем предприятии в знаменатель, а количество выходов из строя серверов за определенный период (год, 3 года) в числитель — получите какую-то цифру. А теперь сделайте такой же расчет с пользовательскими компьютерами. Я сначала тоже удивлялся, потом понял, что из-за разной размерности (на 1 сервер приходится от 10 до 100 десктопов), так что подвижные части тут ни при чем.
Вы абсолютно правы — кривая вероятности выхода из строя железа начинает расти после 3 лет эксплуатации. Весь вопрос — что нам это дает? Сразу после 3 лет эксплуатации менять оборудование? Если вы готовы к выходу из строя железа сразу же в начале эксплуатации этого железа, то что измениться через 3 года? Только вероятность возрастет, но вы должны быть готовы к этому как в начале эксплуатации, так и по истечению 3 лет. Это я к тому, что сокращение количества инцидентов ничего вам не даст. И даже наоборот — снизит значимость системного администратора (ИТ-службы) в глазах коллектива): Если взять особо ответственные рабочие места, то там действительно имеет значение факт снижения количества выходов из строя. Туда ставьте новую технику, но не факт, что она будет работать лучше старой. Как вы думаете, чем сетевое оборудование (которое работает десятилетиями) отличается от пользовательского системника? Оно работает в тепличных условиях, как и сервера. Почему же сервера выходят из строя чаще сетевого оборудования (кстати по статистике сервера выходят из строя чаще десктопных системников, но это потому, что последних на 2 порядка больше, а не потому что системники надежнее)? Потому что там использовались старые проверенные временем технологии, компоненты, решения.
Возможно вы правы, но не вам и не мне это решать. На конкретном предприятии, при конкретной сложившейся ситуации будет приниматься решение. Мы сейчас с вами можем только предполагать, что затраты на электроэнергию и теплоотведение перекроют стоимость нового устройства. Хочу заметить, что в статье не сказано об экономическом эффекте, то есть что это выгодно, а предлагается варианты решения.
Спасибо за пример. Действительно такое может быть. Обычно руководителям предприятий я рекомендую делать бесплатный WiFi для гаджетов сотрудников, минуя локальную сеть (через DMZ). Это конечно не полностью решает проблему, о которой мы говорим. Предлагаю следующий вариант решения:
делаем инвентаризацию сетевого хозяйства (возможно всплывут еще какие-то проблемы);
все неиспользуемые розетки переводим в отдельный VLAN;
Прошу прощения за надоедливость, не могли бы вы привести пример несанкционированного подключения к локальной сети. Просто я когда изучал эту технологию, то сразу не «вьехал» и примеров не было. Допустим вы приходите в поликлинику как пациент, но вам скучно и душа просит интернета для общения, взламываете коммутационный шкаф, тянете провод, и вот оно счастье. Вот просто не укладывается в голове.
Ну для убедительности, как пример, сценарий атаки: бухгалтеру приходит вызов в суд в виде pdf-файла, он (бухгалтер, даже если это она) открывает этот файл. Создается новый процесс, который инициируется adobe reader, в котором есть уязвимость, позволяющая выполнить участок бинарного кода после определенной инструкции в документе pdf (еще раз повторю — это пример).
Каким средством вы собираетесь избежать этой угрозы?
корпус, например, 3Cott M01 (https://market.yandex.ru/product/8276424?hid=91028) — 3000 руб.;
материнскую плату, например ASRock Q1900B-ITX (https://market.yandex.ru/product/10789203?hid=91020) — 5000 руб.;
ОЗУ, например, Kingston KVR13S9S8/4 (https://market.yandex.ru/product/8367083?hid=191211) — 2х2000 руб.;
SSD, например, ADATA Premier Pro SP600 256GB (https://market.yandex.ru/product/10686964?hid=91033) — 7000 руб.
Итого 20 тыр. (если быть точным 19)
Означает ли это, что после перезагрузки роутер приводится в исходное положение? Если да, то ваше мнение ошибочно, ибо именно uImage был залит мною через веб-интерфейс, после чего последовала ОБЯЗАТЕЛЬНАЯ перезагрузка. Если нет, то не могли бы вы пояснить своё утверждение.
Опять вы не правы: зашел телнетом поставил пароль, потом зашел ssh. Такое ощущение, что мы совсем о разном говорим.
Вот честное слово: не понимаю о чем вы. Из ssh заходим под рутом, вводим команду sysupgrade -v xxx-sysupgrade.bin.
Опять не могу с вами согласиться. А куда, скажите пожалуйста, я записал пароль рута? В squashfs? Бред, но можно конечно (копируем распакованную систему во временный каталог, упаковываем в squashfs, заменяем образ), правда похоже на удаление гланд через анальное отверстие.
Теперь замечания по статье. Вы хотя бы удосужились сообщить операционную систему, под которой работает ваша «Ладушка», я уж не говорю о технических характеристиках. Люди, которые поймут о чем ваша статья, наверняка, задают вопрос — а чем она лучше Трафик Инспектора или того же Випнет Офиса. Вы уверены, что в малых офисах существует только проблема ограничения скорости?
Статистика собрана мною с предприятий, которые я обслуживаю, поэтому согласен признать её неверной, но возьмите количество серверов на вашем предприятии в знаменатель, а количество выходов из строя серверов за определенный период (год, 3 года) в числитель — получите какую-то цифру. А теперь сделайте такой же расчет с пользовательскими компьютерами. Я сначала тоже удивлялся, потом понял, что из-за разной размерности (на 1 сервер приходится от 10 до 100 десктопов), так что подвижные части тут ни при чем.