Нет же :-) сектор всегда один (2,3, n это не важно) далее простая задача — найти смещение в битах от начала сектора и использовать это число, как условный ключ. Который можно проверять при каждом запуске или использовать для кодирования какой либо части инсталляшки или бинарника. На заводе набили дырок и за два прохода записали софт. На первом проходе нашли смещения дырок, сделали XOR (просто для примера) части кода. На втором записали на дискету. При запуске инсталляции опять нашли смещения и восстановили ранее закодированное. Или (как в большинстве случаев и делали) запустились прям с дискеты и на лету восстановили что надо. Все остальное — попытки усложнить жизнь потенциальному злоумышленнику — проверить действительно дырка или просто «провал» намагниченности (надо записать сектор по новой, но при этом битовое смещение дырки изменится, надо учесть и переписать кодированные сектора с учётом изменений) полученное число использовать как «мегаважную» константу, указывающую на смещение джампа в коде, для обхода ловушки на использование пошаговой отладки как это использовать, было очень много вариантов, а с учётом того что «взять нормальный дебаггер» или «запустить в виртуалке» в те времена было невозможным, такая защита работала и была адекватной. Да IDA в те времена уже была и можно было ей ковырять чужой код с вполне хорошей «производительностью» но все же тупое повторение дискеты было проще и быстрее.
Не удержался. Попробуйте поставить себя на место работодателя. Приходит к нему некто о котором известно точно только одно «больше года не задержится» все остальное, просто слова в резюме. Как вы думаете — вас берут на работу потому что вы реально нужны компании или для того чтобы временно не заткнуть неответственную «дыру» в штатке? Уверяю вас — «заткнуть дыру», никто не будет в вас вкладываться, поддерживать развитие. Можно довольно долго так «ходить по рукам», но рано или поздно окажется, что вы стали никому не нужны. :-(
Был такой вариант — его проще обойти своим резидентом в цепочке. Чтение сектора и определение в каком именно бите «дырка» делается прямым доступом к контроллеру флопа, обходить этот вариант существенно сложнее. Гораздо проще поступить как я писал выше — два флоповода бутербродом с механической связью шпинделей, синхронизация нулевой позиции диска вручную ну а копирование информации аналоговым способом( аля двух кассетный магнитофон :-) ) в принципе можно и не заморачиваться с дырками (при аналоговом копировании сбойный сектор копируется as is но некоторые производители ещё и контроль именно дырки делали. Инсталляция, в процессе нашли дырку в нужном месте, убедились что дискета «родная» перезаписали сектор, вычислили новое смещение, проапдейтили код защиты (там тоже «развлекались» как могли от банального XOR до перестановок с использованием ПСЧ). а когда надо из оригинала сделать более одной копии, без автоматизации никак ;-)
Не угадывал, то что выше, это способ, которым я как раз тиражировал дискеточки с такой защитой ;-) «вырезать» защиту программно в моем случае сходу не удалось. А вообще там было чуть более сложнее, чем просто нечитаемый сектор. Там была проверка на каком бите возникала ошибка. Потом от этого ушли и стали считать длину post gap, там уже до полубита была точность. Но аналоговое копирование спасало и от этого. :-)
Не ожидал пересечься с Вами… мой первый компьютер рк-86 собранный по публикациям в журнале радио. Клавиатура — герконовые кнопки от калькульторов и наборы «штрих-м», корпус из двух доноров для клавиатуры и бессонные ночи в процессе оживления :-) я тогда ещё в школе учился из источников знаний журнал радио, советы отца. Скорее всего именно эта разработка определила род моих занятий по сей день. Спасибо Вам!
Флоповод со сдвоенным шпинделем, данные просто аналогом, а дырки — оптопара и игла от швейной машинки + электромагнит… :-) Автору поста огромнейший респект за напоминание давно забытого старого!
Это ж было 25 лет назад :-) Вчера в бесплодных попытках вспомнить, что куда и зачем смог найти единственный источник «ISA system bus architecture». За прошедшие 25 лет в памяти остались только воспоминания о принципе :-( Хотя в те времена было много подобных извращений, начиная от хранения данных в GAP между секторами на флоппе, затирания кода в памяти для защиты от дебагеров и прочего. Все кануло в Лету.
Это не блокировка, это «трюк» с POST и особенностями «входа/выхода» в защищённый режим интеллового процессора, начиная с 286. значения x05 и x0A сообщают о том что сброс был по смене режима. Штатно сброс программный, периферия не сбрасывается. По кнопке сбрасывается ещё и периферия, но RAM не очищается, «восстановить» видеоадаптер не самая сложная задачка. Когда-то давно я этот трюк использовал для снятия дампа памяти. :-)
Если уж совсем заморочиться, можно закинуть в x0f регистр RTC x05, по адресу 0040:0067 записать адрес своего обработчика и наслаждаться недоумением пользователя «Почему кнопка reset не работает?» :-) (но в обработчике придется восстановить режим работы видеоадаптера и помнить что жизнь началась заново и регистрах ничего полезного и не забыть в x0f положить x05 и восстановить адрес обработчика в 0040:0067)
Можно было бы и не тревожить BIOS понапрасну. Начиная с B800:0000 нечётные код символа, четные атрибут. Если подойти к вопросу с особым цинизмом, можно весь массив трансфернуть через DMA пересылкой MEM2MEM. ;-)
У меня первый проект был во времена XP когда поддержка 802.11x появлялась только при установке цискиного wifi supplication, вот тогда был ад :-) сейчас все в разы проще, включая ответ на вопрос «что делать с теми, кто не поддерживает» и проект был на 8к юзеров :-):-) не все так страшно, как может показаться, а если есть бюджет, можно еще и в Cisco ISE поиграть, если уж вокруг одна циска :-)
Открыл с мобильного хрома, с включенной «экономией трафика»… Задумался скольким хаброжителям нужно одновременно попробовать сходить по вашей ссылке для достижения ощутимого эффекта и как потом гугл будет «отмазываться» ))
Прощу прощения но volumetric атаки это в общем-то «баловство». Гораздо хуже медленные и слабые атаки — slowloris, loic/hoic и так далее. И на оборудовании которое уже года как три-четыре не поддерживается производителем бороться с атаками такого типа практически бесполезно. Вас это не смущает?
«Закон Склярова» в оригинале звучит вот так «Стоимость затрат на создание системы защиты информации на объекте не должна превышать стоимость защищаемой информации. В противном случае защита информации становится нецелесообразной. За исключением случаев, когда речь идет о защите информации предоставляющей государственную важность или стоимость утери информации не может быть оценена.» Собственно Дмитрию его именно в таком виде и преподносили в далеких 90-ых годах, впрочем как и всем кто учился в то время на только открывшихся кафедрах информационной безопасности. Предмет назывался «Основы ИБ», раздел «Технико экономическое обоснование ЗИ». А преподаватели, заботящиеся об будущем студентов, всегда добавляли «в обсуждении с заказчиком старайтесь избегать этой темы всеми силами, так как разные методы оценки стоимости информации будут давать разные результаты и обсуждение возможных средств защиты перейдет в бессмысленный спор о реальной стоимости информации».
К сожалению, сейчас об этом мало кто знает и оценку средств ЗИ делают по принципу «Сколько???? Нет, это очень дорого. Мне только что предлагали решение ХХХ и оно стоит в два раза дешевле.» А дальше начинается смена средств защиты, в целях уменьшения стоимости проекта, при этом напрочь забывается о том что в первую очередь надо бы оценивать достигаемый уровень защищенности. Что рано или поздно приводит к различным инцидентам ИБ.
Обходилки быстро и качественно ловятся и блокируются простым действием — ставим прокси и всех во внешний мир через него. На нем же обламывается малварь. А если вернемся к NGFW то сейчас они ещё по анализу того что в GET/POST положили, а также по тому какие FQDN пытается резолвить хост прекрасно детектирует зараженные малварью рабочие места.
Ну в Core Network нет уже смысла применять какие либо меры, подразумевается, что порты мониторятся и подключение к ним невозможно в силу того что коммутаторы находятся в защищенном периметре (кроссовая/серверная).
Что касается шишек с 802.1x — я бы не сказал, что их там много, скорее нету вообще. Внимательное изучение документации на коммутаторы конкретного производителя дает ответы абсолютно на все вопросы. Кроме того в 802.1x, по счастью, все косяки без проблем исследуются тем же Wireshark, что обмен между коммутатором и радиусом, что обмен между хостом и коммутатором. Пошаговая инструкция, как правило, гарантия появления головной боли потом, когда рассыпется по той или иной причине и придется собирать назад.
Что касается вокруг лежащего — оно само всплывет в процессе, как те же, упомянутые мной, принтера. Сейчас специально поднял самый первый проект по внедрению аж 2005 года, актуален до сих пор, за исключением разделов про Windows 98/ME. Судя по проекту и по воспоминаниям, с ними шишек на стенде было набито не мало, 2000 и XP SP2, клиент встроенный, аутентификация по сертификатам поддерживается, работает «из коробки».
WPA2-Enterprise одинаково применимо :-) ибо что в WiFi, что в лане один и тот же 802.1x. На заре XP приходилось на десктоп ставить Atherosовские WiFi дрова чтоб на лане появилась возможность включить 802.1x.
Что касается решений «из коробки» для аутентификации рабочих мест прекрасно работает связка MS AD + Radius + коммутатор с поддержкой 802.1x никаких «танцев с бубном» не нужно. Подняли Radius, натравили его на AD, на Radius натравили коммутатор, на рабочем месте подняли 802.1x. Если рабочее место в домене его авторизуют, нету в доме, нет авторизации. Впрочем тоже самое относится и к юзерам. Дополнительно можно присылать VLAN ID и коммутатор будет совать порт в соответствующий VLAN, но он должен быть на коммутаторе, должен быть в транке, его надо маршрутизировать. У XP была проблема связанная с тем что сначала авторизуется рабочее место, его суют в один VLAN там он получает адрес, потом приходит юзер, логингится, его перекладывают в другой VLAN и XP «забывало» еще раз получить адрес, уже в новом VLAN. Со второго (может быть и уже и с первого сервиспака проблема пофиксена).
Ну а дальше, как я уже говорил, начинается решение проблем с принтерами и прочим без поддержки 802.1x. Можно всех скопом засунуть в один Guest VLAN, как неавторизовавшихся (не очень секьюрно и есть проблемы), можно «взводить» на портах, куда оно подключено, MAC Security, но тогда при замене принтера надо еще и сетевой отдел беспокоить. В общем есть место для творчества :-)
К сожалению, сейчас об этом мало кто знает и оценку средств ЗИ делают по принципу «Сколько???? Нет, это очень дорого. Мне только что предлагали решение ХХХ и оно стоит в два раза дешевле.» А дальше начинается смена средств защиты, в целях уменьшения стоимости проекта, при этом напрочь забывается о том что в первую очередь надо бы оценивать достигаемый уровень защищенности. Что рано или поздно приводит к различным инцидентам ИБ.
Что касается шишек с 802.1x — я бы не сказал, что их там много, скорее нету вообще. Внимательное изучение документации на коммутаторы конкретного производителя дает ответы абсолютно на все вопросы. Кроме того в 802.1x, по счастью, все косяки без проблем исследуются тем же Wireshark, что обмен между коммутатором и радиусом, что обмен между хостом и коммутатором. Пошаговая инструкция, как правило, гарантия появления головной боли потом, когда рассыпется по той или иной причине и придется собирать назад.
Что касается вокруг лежащего — оно само всплывет в процессе, как те же, упомянутые мной, принтера. Сейчас специально поднял самый первый проект по внедрению аж 2005 года, актуален до сих пор, за исключением разделов про Windows 98/ME. Судя по проекту и по воспоминаниям, с ними шишек на стенде было набито не мало, 2000 и XP SP2, клиент встроенный, аутентификация по сертификатам поддерживается, работает «из коробки».
Что касается решений «из коробки» для аутентификации рабочих мест прекрасно работает связка MS AD + Radius + коммутатор с поддержкой 802.1x никаких «танцев с бубном» не нужно. Подняли Radius, натравили его на AD, на Radius натравили коммутатор, на рабочем месте подняли 802.1x. Если рабочее место в домене его авторизуют, нету в доме, нет авторизации. Впрочем тоже самое относится и к юзерам. Дополнительно можно присылать VLAN ID и коммутатор будет совать порт в соответствующий VLAN, но он должен быть на коммутаторе, должен быть в транке, его надо маршрутизировать. У XP была проблема связанная с тем что сначала авторизуется рабочее место, его суют в один VLAN там он получает адрес, потом приходит юзер, логингится, его перекладывают в другой VLAN и XP «забывало» еще раз получить адрес, уже в новом VLAN. Со второго (может быть и уже и с первого сервиспака проблема пофиксена).
Ну а дальше, как я уже говорил, начинается решение проблем с принтерами и прочим без поддержки 802.1x. Можно всех скопом засунуть в один Guest VLAN, как неавторизовавшихся (не очень секьюрно и есть проблемы), можно «взводить» на портах, куда оно подключено, MAC Security, но тогда при замене принтера надо еще и сетевой отдел беспокоить. В общем есть место для творчества :-)