> ethernet0.generatedAddress = "00:0c:29:7e:06:58"
Если вы собираетесь использовать несколько виртуальных машин, я вам советую использовать уникальные MAC-адреса. Иначе сеть не будет работать или будет работать со страшными глюками, но скорее всего без видимых сообщений об ошибке.
Возможно вот эта строка укажет VMware Player автоматически сгенерировать уникальный MAC и uuid, но я не уверен:
> uuid.action = "create"
Ну проиндексирует гугль ваш сегодняшний список покупок в супермаркете или отчёт о прополке колхозных грядок... И что? Всё равно все важные документы вы будете не только держать у себя на компьютере, а возможно даже и шифровать их.
Значит, делаем вывод: вредоносное ПО для *nix должно быть на perl или на shell :) Хотя собственно так оно и есть не раз видел IRC-ботов на perl, которые загружают после эксплоита какой-то дырки в скрипте на веб-сервере. Причём даже были "завуалированы" при помощи base64 и декодирования на лету.
Представляю себе раздел "Решение проблем" в инструкции пользователя:
Проблема: диск не определяется в BIOS
Решение: попробуйте произвести упругое соударение жёсткого дика с некоторой поверхностью; например, можете бросить его на пол. Если проблема остаётся бросьте его в железобетонную стену. Внимание: не бросайте диск в стену из гипсокартона, во избежание её разрушения.
selinux? А справляется ли с такими методами обхода защиты (просто интересно узнать, сам никогда ещё selinux не пробовал):
1. cp /bin/ls /tmp/evil
chmod 0644 /tmp/evil
/lib/ld-linux.so.2 /tmp/evil
2. Отладчик gdb в системе есть? Ведь с его помощью можно запустить, допустим, /bin/ls, остановить до начала исполнения, перезаписать код в памяти и выполнить его? Или на ptrace() есть ограничение?
Если нет selinux, можно монтировать /home и /tmp с noexec.
От этого может спасти IDS (intrusion detection system). А может и не спасти... Антивирус, IDS или что ещё можно придумать хороши только как дополнительная меры защиты, в любой системе.
Проблема спама — проблема не только Мэйла, а Интернета вообще.
Почему тогда на GMail у меня во входящие спам не попадает? Да, в сутки приходит 20-50 штук, но они все лежат в спаме! Причём я активно пользуюсь почтой, подписан на многие списки рассылки. Так что проблема спама проблема интернета, а фильтрация спама проблема почтовых серверов.
Хотите, будет переправлять их вам?
Если их отсеяла ваша простая система, то я думаю, что гуглевская отсеит их все. Честно, можем провести эксперимент.
Нет, бывает и так. Но не от того, что мало голосовали, а потому что поставили (например) 22 плюса и 20 минусов. Давно уже кто-то говорил о таком параметре как "противоречивость топика", которая сможет вытянуть его на главную даже если по голосам у топика 0.
В именах файлов может содержаться секретная информация например, если это файлы сессий у веб-сервера. Также через мониторинг изменений можно выяснить кто и что делает в конкретный момент в системе, например, для большей вероятности успеха race-condition атак.
Первый диск, на котором находятся ключи для подписи, выкачал через BitTorrent при помощи .torrent-файла с официального сайта, потом сравнил MD5 полученного диска. Остальные пакеты всё равно откуда брать, потому что ключи получены из доверенного источника.
Я вот тут указал конкретную уязвимость CVE-2007-0843, о которой в Microsoft сообщили ещё 17 января 2006 года. Microsoft подтвердил её наличие и определил важность как "service pack class". Но вот, год спустя! выпущена Windows Vista с той же самой уязвимостью.
Вывод: они не учатся ни у других, ни когда им посылают точную информацию об уязвимости, они даже сами у себя не учатся. И тут даже пусть бы было микроядро и realtime возможности они не спасут, потому что проблема абсолютно в другом.
PS. Для Windows много руткитов уровня ядра на всех хватит.
> И "одмин" который вместо того чтобы тратить траффик на апдейты будет порнуху лить.
Если не апдейтить Windows и выставить его в сеть с настройками по умолчанию, он будет заражён менее чем через час *без содействия пользователя* были проведены реальные исследования, не могу найти ссылку. Может кто знает ссылку?
Любую систему нужно апдейтить. И следить за ней. Ведь в инструкции пользователя рассказывается как запустить программу в данной ОС? и пользователи это обязательно читают. Тогда там наверное и рассказывается, как запустить программу обновления если пользователи этого не читают...
> эскалация прав разве невозможна?
ОК, чтобы поставить руткит нужны права root. Чтобы получить root, нужно или чтобы вредоносный код был изначально запущен с правами root, или он должен использовать эскалцию прав а это уже вторая по счету уязвимость в одной системе, и что более важно в одном вирусе. А для автоматического поиска по базе каких-то уязвимостей нужно чтобы вирус содержал информацию о всех них. Тогда это уже будет порядочного размера бинарник.
Если вы собираетесь использовать несколько виртуальных машин, я вам советую использовать уникальные MAC-адреса. Иначе сеть не будет работать или будет работать со страшными глюками, но скорее всего без видимых сообщений об ошибке.
Возможно вот эта строка укажет VMware Player автоматически сгенерировать уникальный MAC и uuid, но я не уверен:
> uuid.action = "create"
Проблема: диск не определяется в BIOS
Решение: попробуйте произвести упругое соударение жёсткого дика с некоторой поверхностью; например, можете бросить его на пол. Если проблема остаётся бросьте его в железобетонную стену. Внимание: не бросайте диск в стену из гипсокартона, во избежание её разрушения.
1. cp /bin/ls /tmp/evil
chmod 0644 /tmp/evil
/lib/ld-linux.so.2 /tmp/evil
2. Отладчик gdb в системе есть? Ведь с его помощью можно запустить, допустим, /bin/ls, остановить до начала исполнения, перезаписать код в памяти и выполнить его? Или на ptrace() есть ограничение?
Если нет selinux, можно монтировать /home и /tmp с noexec.
Почему тогда на GMail у меня во входящие спам не попадает? Да, в сутки приходит 20-50 штук, но они все лежат в спаме! Причём я активно пользуюсь почтой, подписан на многие списки рассылки. Так что проблема спама проблема интернета, а фильтрация спама проблема почтовых серверов.
Если их отсеяла ваша простая система, то я думаю, что гуглевская отсеит их все. Честно, можем провести эксперимент.
Вывод: они не учатся ни у других, ни когда им посылают точную информацию об уязвимости, они даже сами у себя не учатся. И тут даже пусть бы было микроядро и realtime возможности они не спасут, потому что проблема абсолютно в другом.
PS. Для Windows много руткитов уровня ядра на всех хватит.
Если не апдейтить Windows и выставить его в сеть с настройками по умолчанию, он будет заражён менее чем через час *без содействия пользователя* были проведены реальные исследования, не могу найти ссылку. Может кто знает ссылку?
Любую систему нужно апдейтить. И следить за ней. Ведь в инструкции пользователя рассказывается как запустить программу в данной ОС? и пользователи это обязательно читают. Тогда там наверное и рассказывается, как запустить программу обновления если пользователи этого не читают...
> эскалация прав разве невозможна?
ОК, чтобы поставить руткит нужны права root. Чтобы получить root, нужно или чтобы вредоносный код был изначально запущен с правами root, или он должен использовать эскалцию прав а это уже вторая по счету уязвимость в одной системе, и что более важно в одном вирусе. А для автоматического поиска по базе каких-то уязвимостей нужно чтобы вирус содержал информацию о всех них. Тогда это уже будет порядочного размера бинарник.