Кстати, даже если поверить Касперскому и допустить, что уязвимость использовалась раньше в Trojan-Spy.Win32.Gimmiv.a (я специально отметил, что «далек от мысли, что подобное невозможно»), как это относится к Вашему пониманию механизмов распространения Kido/Conficker
> Настоящая тайная хронология. Известная всем, кто вообще интересуется ИБ.
Ага, всем, кроме Secunia (Release Date 2008-10-23), CERT (Original release date: October 23, 2008), Vupen (Release Date 2008-10-23), NVD (Original release date:10/23/2008) и прочих. Совершенно очевидно, что они все не «интересуются ИБ». Зато Касперский, без ссылок на источники публикующий рекламные материалы — интересуется.
То, что в рукипедии нет ссылок на источники и то, что число совпадает со всем остальным интернетом — не совпадает только месяц — это, конечно же, просто совпадение.
> Ещё ссылок или просто признаете, что, мягко говоря, не владеете материалом?
Мдя.
> Что я буду с этого иметь?
Будете выглядеть менее глупо. Пока что Вы просто говорите чушь о вещах, в которых Вы, со всей очевидностью, абсолютно не разбираетесь.
> Вы не удовлетворили даже пустяковую просьбу описать на пальцах преимущества SRM и CI.
SRM — простые, понятные, проверяемые, однородные и вездесущие средства безопасности в ОС. Хм, действительно крайне неочевидно зачем они нужны.
CI — прежде всего возможность проверки системы на предмет постороннего кода. Ну и возможность построения chain of trust.
Хотя я подумал и решил дать Вам шанс доказать свое право рассуждать о безопасности вообще и об архитектуре/реализации средств безопасности в винде (хотя на мой взгляд, Вы уже сказали достаточно, но это может быть неочевидно менее опытным людям).
Итак, просто перечислите основные функции/структуры проверки безопасности в ядре Windows (на Ваш выбор — более того, именно фильтрация гугл-знаний до уровня действительно существенных вещей будет свидетельствовать о компетентности).
Если же Вы в общих чертах набросаете схему взаимодействия юзермод-кода с Object Manager-ом и Object Manager-а с Security Reference Monitor-ом, я с удовольствием продолжу дискуссию о «системах, уязвимых by design»
> Есть сомнения, что вы вообще знаете настоящую хронологию событий
Настоящая ТАЙНАЯ хронология, известная только Вам? Было бы неплохо подтвердить свои слова хоть каким нибудь источником. Желательно более менее известным
Есть сомнения, что «гей-блокиратор» пришел сам на отлично настроенную систему и без малейшего вмешательства пользователя. Просто потому, что у меня есть куча примеров как пользователи ГОДАМИ сидят на винде, лазят по «легитимным» (и не очень) сайтам и не получают никаких винлоков и ни одного (буквально ни одного, хотя я и далек от мысли, что подобное невозможно) примера заражения без участия пользователя.
Есть сомнения, что Вы понимаете как приходил Kido.
Security Reference Monitor
В той каше (вернее спагетти), коим является линукс ни о каком «tamperproof, always-invoked, and small-enough-to-be-fully-tested-and-analyzed module that controls all software access to data objects or devices (verifiable)» речи не идет. Прежде чем заявлять про LSM советую разобраться как с понятием SRM, так и с особенностями реализации самого LSM
Code Integrity
Попросту способ гарантировать, что весь код проверяется на предмет происхождения перед исполнением. Прежде, чем приводить md5sum, рекомендую подумать о том, где будут храниться контрольные суммы и как будут обновляться бинарники/суммы.
> Мне всегда нравилось смотреть, как Microsoft внедряет особые, брэндированные технологии для защиты систем
А мне всегда нравилось как линуксоиды с умным видом несут несусветную чушь.
> уязвимых by design.
Расскажите же мне о дизайне. Особенно забавно слышать рассуждения о дизайне от человека, который не знает про SRM и CI
Да, на всякий случай напомню.
Что самое забавное, даже при том, что запуск пользователем недоверенного приложения — это самый распространенный вектор проникновения малвари на машины и после предоставления ФАКТОВ, что такое очень легко сделать на линуксе — тред по ссылке все равно сводится к «А линукс все равно безопаснее».
На самом деле в Windows любые исполняемые файлы, загруженные по сети (Internet Zone) при запуске ВСЕГДА показывают предупреждение, где в числе прочего указывается Publisher приложения.
В линуксе же только недавно «закрыли» исполнение неисполняемых .desktop файлов, но остались всякие «исполняемые данные» типа deb/rpm. Остались архивы, в которые можно зайти по даблклику и исполнить оттуда файл по даблклику (более того, пересылка архива во вложении не вызывает никаких вопросов).
Самая большая проблема линукса, на мой взгляд, это уверенность большинства в том, что там все если не идеально, то ГОРАЗДО лучше, чем у других. При том, что единственное, что защищает пользователей линукс — это то же, что защищает пользователей Windows 9x — низкая распространенность.
> Я не говорил, что Вы писали о том, что видите нападки и превозненение. Я написал, что Вы их просто видите.
Ну то есть я этого нигде не упоминал и Вы додумали за меня?
> Вы моментально кинулись в атаку
Где Вы увидели атаку? Тоже «нейтральный по сути комментарий». Просто чтоб ни у Вас ни у читающих не осталось иллюзий о возможно подразумеваемом превосходстве.
> Другого объяснения данному наскоку (кроме того, что Вы углядели «нападки» и «превознесения») я не вижу.
Вы высказали неверное утверждение, что от usage share вероятность эпидемии практически не зависит, а довольно очевидный факт, напротив, назвали «вялым самоутешением страдальцев». Сделали Вы это, очевидно, от незнания реалий — ну а я — д'Артаньян, взявший на себя тяжкое бремя просвещения интернет-народа, так что я не смог пройти мимо. Причем не только потому, что мне нужно чтобы Вы что нибудь поняли (есть сомнения, что это вообще возможно), но и потому, что это публичный ресурс и если Ваше неверное утверждение не будет опровергнуто — кто нибудь посторонний может быть введен в заблуждение.
> видеть нападки на винду и превознесение линукса и спорить с утверждениями, которые придумали сами.
Давайте поиграем в Ваши игры. Где конкретно я писал, что вижу нападки на винду и превознесение линукса? Утверждения я не придумывал. А вот Вы уже даже в этом посте несколько раз приписали мне то, чего я не утверждал и даже не подразумевал.
> прощаемся в каждой ветке.
Я еще ни разу не прощался, что Вы. Хотя наверное уже стоит. Я дам Вам шанс. Вы отвечаете чего нибудь по теме и мы продолжаем беседу, либо Вы продолжаете извиваться как уж под вилами и я признаю себя сокрушенным и мы сворачиваем эти глупости.
> Извините, но Вы напрочь не воспринимаете то, что Вам пишут, и не можете связать одно сообщение с другим.
Да нет, это у Вас проблемы не только с пониманием написанного другими, но даже с пониманием написанного лично Вами.
> Мы вроде бы пришли к соглашению, что сам факт распространённости на количество вирусов влияет слабо?
Нет. Мы пришли к соглашению, что это не единственный, хотя и самый существенный в данном случае фактор. Технологическая отсталость линукса скорее будет способствовать, чем препятствовать появлению вирусов.
> то не потому, что он будет распространённым, а из-за уязвимостей, провалов в защите и т.д. Элементарно, не правда ли?
Нет, не правда. Процент особей, не имеющих иммунитета против заболевания — самый важный фактор при возникновении эпидемии.
> Но чего не знаете ни Вы, ни я, ни кто либо другой — так это того, какие механизмы защиты будут созданы и каким образом будут улучшены существующие к тому моменту, когда «линукс будет такой же популярный».
Вопрос так не ставится. Лично я вообще не верю в то, что линукс когда нибудь выберется хотя бы в двухзначные показатели маркетшары. Суть в том, что маркетшара НАПРЯМУЮ влияет как на саму возможность эпидемии, так и на заинтересованность злоумышленников в написании малвари под платформу.
> А теперь внимание, самое интересное: смысл этого комментария именно такой: «распространённость сама по себе ничего не значит, и апеллировать исключительно к ней — глупая затея»
В очередной раз хватаетесь за соломинку? При различиях в распространенности на два порядка именно она оказывается самую существенную роль.
Давайте Вы ответите на вопрос: «Когда Вы в последний раз видели эпидемию на Windows 98»? А когда Вы в последний раз видели уязвимость, открытую в Windows 98? Значит ли это такой потрясающий track record, что данная система более безопасна, чем линукс?
Ответьте, пожалуйста, на данные вопросы перед тем, как продолжать это бессмысленное словоблудие.
Вы поняли неверно. Начиная с того, что речь вообще не об этом и заканчивая тем, что векторы проникновения остаются все теми же: непроапдейченные системы, пользователи самостоятельно запускающие недоверенные файлы (в частности потому, что уверены в «абсолютной безопасности» линукса).
Вам кажется, что линукс защищен от такого и такого? Вам кажется, что в линуксе принципиально не бывает RCE уязвимостей? Вам кажется, что пользователи на линукс принципиально не запускают ничего недоверенного? Мне бы хотелось, чтоб Вы прояснили свою позицию.
> Скажите, Вы хоть немного осмысливаете то, что читаете?
Ага. А вот Вы, похоже уже потеряли нить разговора. Вернее ПЫТАЕТЕСЬ потерять
Но у нас-то «все ходы записаны»
> Так что фразы из разряда «вот будет линукс такой же популярный — будет у вас столько же вирусов» — не более, чем вялое самоутешение страдальцев, вычищающих очередной conficker ;)
Эта фраза — ложь. Потому что «фразы из разряда» — это медицинский факт, основанный на реальном понимании происходящего, а вот фразы про «самоутешение страдальцев» — это как раз таки от полнейшего непонимания происходящего. Последующий же отказ от собственных оценок и виляние — это Ваш обычный стиль «дискуссии» (да, это не первое моя «дискуссия» с Вами).
Ну достаточно разумное допущение (знаменитая метафора «farmhouse in the country with no locks» vs «house with bars on the windows in the bad part of town»)
Но, в большинстве случаев ее понимают неверно. Проживая в деревне в доме без замков, Вы лучше защищены от СЛУЧАЙНОГО взлома. То есть таки да, Вы не станете частью ботнета и вряд ли будете лечить какой нибудь неперсонифицированный локер.
Но есть одно существенное но. Настоящие параноики должны учитывать также возможность таргетированных атак (как нашумевшая Аврора, например). Если Вы знаете, что кому-то может быть интересна ЛИЧНО ВАША информация — лучше «забаррикадироваться» пусть и в «плохом районе».
Более того, чтоб защититься от случайного проникновения, Вам опять таки не нужно «бежать быстрей медведя» — всего лишь «быстрей геолога». НЕ отключаете UAC, НЕ держите исполняемых программ в доступных для записи местах, НЕ пользуетесь оперой/файрфоксом/сафари (Chrome/IE8 — самые защищенные браузеры), НЕ отключаете апдейты, по желанию еще и включаете SRP/AppLocker и Вы еще более «неуловимы», чем линуксоиды. Просто потому, что большинство ботнетописак таргетируют свои поделия на неапдейченные XP без антивирусов.
Ага, всем, кроме Secunia (Release Date 2008-10-23), CERT (Original release date: October 23, 2008), Vupen (Release Date 2008-10-23), NVD (Original release date:10/23/2008) и прочих. Совершенно очевидно, что они все не «интересуются ИБ». Зато Касперский, без ссылок на источники публикующий рекламные материалы — интересуется.
То, что в рукипедии нет ссылок на источники и то, что число совпадает со всем остальным интернетом — не совпадает только месяц — это, конечно же, просто совпадение.
> Ещё ссылок или просто признаете, что, мягко говоря, не владеете материалом?
Мдя.
Будете выглядеть менее глупо. Пока что Вы просто говорите чушь о вещах, в которых Вы, со всей очевидностью, абсолютно не разбираетесь.
> Вы не удовлетворили даже пустяковую просьбу описать на пальцах преимущества SRM и CI.
SRM — простые, понятные, проверяемые, однородные и вездесущие средства безопасности в ОС. Хм, действительно крайне неочевидно зачем они нужны.
CI — прежде всего возможность проверки системы на предмет постороннего кода. Ну и возможность построения chain of trust.
Давайте облегчим задачу, сузив пространство поиска до средств проверки прав доступа.
Итак, просто перечислите основные функции/структуры проверки безопасности в ядре Windows (на Ваш выбор — более того, именно фильтрация гугл-знаний до уровня действительно существенных вещей будет свидетельствовать о компетентности).
Если же Вы в общих чертах набросаете схему взаимодействия юзермод-кода с Object Manager-ом и Object Manager-а с Security Reference Monitor-ом, я с удовольствием продолжу дискуссию о «системах, уязвимых by design»
А у меня есть
> Есть сомнения, что вы вообще знаете настоящую хронологию событий
Настоящая ТАЙНАЯ хронология, известная только Вам? Было бы неплохо подтвердить свои слова хоть каким нибудь источником. Желательно более менее известным
Есть сомнения, что Вы понимаете как приходил Kido.
В той каше (вернее спагетти), коим является линукс ни о каком «tamperproof, always-invoked, and small-enough-to-be-fully-tested-and-analyzed module that controls all software access to data objects or devices (verifiable)» речи не идет. Прежде чем заявлять про LSM советую разобраться как с понятием SRM, так и с особенностями реализации самого LSM
Code Integrity
Попросту способ гарантировать, что весь код проверяется на предмет происхождения перед исполнением. Прежде, чем приводить md5sum, рекомендую подумать о том, где будут храниться контрольные суммы и как будут обновляться бинарники/суммы.
> Мне всегда нравилось смотреть, как Microsoft внедряет особые, брэндированные технологии для защиты систем
А мне всегда нравилось как линуксоиды с умным видом несут несусветную чушь.
> уязвимых by design.
Расскажите же мне о дизайне. Особенно забавно слышать рассуждения о дизайне от человека, который не знает про SRM и CI
Что самое забавное, даже при том, что запуск пользователем недоверенного приложения — это самый распространенный вектор проникновения малвари на машины и после предоставления ФАКТОВ, что такое очень легко сделать на линуксе — тред по ссылке все равно сводится к «А линукс все равно безопаснее».
В линуксе же только недавно «закрыли» исполнение неисполняемых .desktop файлов, но остались всякие «исполняемые данные» типа deb/rpm. Остались архивы, в которые можно зайти по даблклику и исполнить оттуда файл по даблклику (более того, пересылка архива во вложении не вызывает никаких вопросов).
Самая большая проблема линукса, на мой взгляд, это уверенность большинства в том, что там все если не идеально, то ГОРАЗДО лучше, чем у других. При том, что единственное, что защищает пользователей линукс — это то же, что защищает пользователей Windows 9x — низкая распространенность.
Ну то есть я этого нигде не упоминал и Вы додумали за меня?
> Вы моментально кинулись в атаку
Где Вы увидели атаку? Тоже «нейтральный по сути комментарий». Просто чтоб ни у Вас ни у читающих не осталось иллюзий о возможно подразумеваемом превосходстве.
> Другого объяснения данному наскоку (кроме того, что Вы углядели «нападки» и «превознесения») я не вижу.
Вы высказали неверное утверждение, что от usage share вероятность эпидемии практически не зависит, а довольно очевидный факт, напротив, назвали «вялым самоутешением страдальцев». Сделали Вы это, очевидно, от незнания реалий — ну а я — д'Артаньян, взявший на себя тяжкое бремя просвещения интернет-народа, так что я не смог пройти мимо. Причем не только потому, что мне нужно чтобы Вы что нибудь поняли (есть сомнения, что это вообще возможно), но и потому, что это публичный ресурс и если Ваше неверное утверждение не будет опровергнуто — кто нибудь посторонний может быть введен в заблуждение.
Так я все и так понял. Вы сказали глупость. Отказались от собственных слов. После всего приписали эту глупость мне.
> а уже потом я буду отвечать на Ваши вопросы.
А вопросы то очень плохо соотносятся с Вашими утверждениями. Самое время обидеться, да.
> поэтому я всё же склонен попрощаться.
Да-да. Мне такая мысль тоже неоднократно приходила в голову.
> видеть нападки на винду и превознесение линукса и спорить с утверждениями, которые придумали сами.
Давайте поиграем в Ваши игры. Где конкретно я писал, что вижу нападки на винду и превознесение линукса? Утверждения я не придумывал. А вот Вы уже даже в этом посте несколько раз приписали мне то, чего я не утверждал и даже не подразумевал.
> прощаемся в каждой ветке.
Я еще ни разу не прощался, что Вы. Хотя наверное уже стоит. Я дам Вам шанс. Вы отвечаете чего нибудь по теме и мы продолжаем беседу, либо Вы продолжаете извиваться как уж под вилами и я признаю себя сокрушенным и мы сворачиваем эти глупости.
Да нет, это у Вас проблемы не только с пониманием написанного другими, но даже с пониманием написанного лично Вами.
> Мы вроде бы пришли к соглашению, что сам факт распространённости на количество вирусов влияет слабо?
Нет. Мы пришли к соглашению, что это не единственный, хотя и самый существенный в данном случае фактор. Технологическая отсталость линукса скорее будет способствовать, чем препятствовать появлению вирусов.
> то не потому, что он будет распространённым, а из-за уязвимостей, провалов в защите и т.д. Элементарно, не правда ли?
Нет, не правда. Процент особей, не имеющих иммунитета против заболевания — самый важный фактор при возникновении эпидемии.
> Но чего не знаете ни Вы, ни я, ни кто либо другой — так это того, какие механизмы защиты будут созданы и каким образом будут улучшены существующие к тому моменту, когда «линукс будет такой же популярный».
Вопрос так не ставится. Лично я вообще не верю в то, что линукс когда нибудь выберется хотя бы в двухзначные показатели маркетшары. Суть в том, что маркетшара НАПРЯМУЮ влияет как на саму возможность эпидемии, так и на заинтересованность злоумышленников в написании малвари под платформу.
> А теперь внимание, самое интересное: смысл этого комментария именно такой: «распространённость сама по себе ничего не значит, и апеллировать исключительно к ней — глупая затея»
В очередной раз хватаетесь за соломинку? При различиях в распространенности на два порядка именно она оказывается самую существенную роль.
Давайте Вы ответите на вопрос: «Когда Вы в последний раз видели эпидемию на Windows 98»? А когда Вы в последний раз видели уязвимость, открытую в Windows 98? Значит ли это такой потрясающий track record, что данная система более безопасна, чем линукс?
Ответьте, пожалуйста, на данные вопросы перед тем, как продолжать это бессмысленное словоблудие.
Вам кажется, что линукс защищен от такого и такого? Вам кажется, что в линуксе принципиально не бывает RCE уязвимостей? Вам кажется, что пользователи на линукс принципиально не запускают ничего недоверенного? Мне бы хотелось, чтоб Вы прояснили свою позицию.
Ага. А вот Вы, похоже уже потеряли нить разговора. Вернее ПЫТАЕТЕСЬ потерять
Но у нас-то «все ходы записаны»
> Так что фразы из разряда «вот будет линукс такой же популярный — будет у вас столько же вирусов» — не более, чем вялое самоутешение страдальцев, вычищающих очередной conficker ;)
Эта фраза — ложь. Потому что «фразы из разряда» — это медицинский факт, основанный на реальном понимании происходящего, а вот фразы про «самоутешение страдальцев» — это как раз таки от полнейшего непонимания происходящего. Последующий же отказ от собственных оценок и виляние — это Ваш обычный стиль «дискуссии» (да, это не первое моя «дискуссия» с Вами).
Всего хорошего.
Но, в большинстве случаев ее понимают неверно. Проживая в деревне в доме без замков, Вы лучше защищены от СЛУЧАЙНОГО взлома. То есть таки да, Вы не станете частью ботнета и вряд ли будете лечить какой нибудь неперсонифицированный локер.
Но есть одно существенное но. Настоящие параноики должны учитывать также возможность таргетированных атак (как нашумевшая Аврора, например). Если Вы знаете, что кому-то может быть интересна ЛИЧНО ВАША информация — лучше «забаррикадироваться» пусть и в «плохом районе».
Более того, чтоб защититься от случайного проникновения, Вам опять таки не нужно «бежать быстрей медведя» — всего лишь «быстрей геолога». НЕ отключаете UAC, НЕ держите исполняемых программ в доступных для записи местах, НЕ пользуетесь оперой/файрфоксом/сафари (Chrome/IE8 — самые защищенные браузеры), НЕ отключаете апдейты, по желанию еще и включаете SRP/AppLocker и Вы еще более «неуловимы», чем линуксоиды. Просто потому, что большинство ботнетописак таргетируют свои поделия на неапдейченные XP без антивирусов.