Почему вас все равно взломают

    Тему этой небольшой статьи навеяла небольшая дискуссия на хабре, свидетелем которой я стал. Один участник дискуссии был ярым сторонником ОС Linux и утверждал, что если всех простых пользователей перевести на Linux, то все будет просто зашибись – и не взломают и данные не украдут.

    В этом небольшом эссе я попытаюсь на простом языке объяснить, как вас могут теоретически взломать. Я обойдусь без сложных терминов, для обычных пользователей статья даст красочное представление о взломе ОС, а более продвинутые пользователи между строк будут читать техническую информацию. Считаю, что пользователю любой ОС, а тем более тем, кто связан с этим по работе, необходимо понимать, что профессиональные вирусы – это не исполняемый файл, который переименовали в документ и просят вас запустить. И не всегда блокировка макросов не даст злоумышленнику выполнить код на вашей системе.

    Знаете, последний раз участником подобных дискуссий я становился еще в школе в далеком 9-10 классе. Тогда я был ярым фанатом Windows, а мой друг использовал Linux, потом через некоторое время я начал разрабатывать под Linux – и все поменялось, я стал фанатом Linux и публично всех агитировал перейти на него. Я это веду к тому, если ваш оппонент страждет подискутировать на подобную тему в таком ключе, сразу вспоминайте тех двух школьников. Сам пользуюсь обеими операционками, и давно уже не сторонник таких холиваров, у меня работают сервера на Linux Debian, а сам пишу этот текст на ПК с Windows 8. Далее будет много негатива про Linux, но он не связан с какими-либо фанатическим убеждениями, просто я хочу объективно рассказать и убедить, что не важно, какой ОС вы пользуетесь – взломать вас могут везде.

    Насколько дырява ОС Windows...
    … насколько дырява ОС Windows можно рассуждать годами, но интересно насколько безопасен Linux? Если спросить у любителей Linux, а если ли у вас антивирус, то в ответ будет только смех. Аргумент такой – Linux создан профессионалами, и все там by default защищено. Вот сажаем свою любимую собаку за Ubuntu и можно за ее данные не волноваться. Можно… пока.

    Вообще есть две вещи, которые бесконечны, вселенная и дураки. С вселенной все понятно, но как быть с последними? Вот как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты? А как объяснить создателям отечественных мега-СЗИ, что нельзя защититься от взлома матрицей доступа и что взлом это не всегда: «Вдруг процесс А пишет файл autorun.exe, а вот матрицей доступа такой поток блокируется на запись и значит система защищена».

    Ваша защищенность выглядит хорошей только в теории. Допустим, вы тот самый пользователь Ubuntu (один из любимых моих дистрибутивов), вы устанавливаете на ПК своей любимой собаки Боб эту ОС. Тогда многие утверждают следующее – если Бобу на почту придет сообщение myDocument.docx, то даже если это окажется исполняемый файл, и он его по инструкции запустит, то ничего не произойдет – ведь для большинства действий необходим пароль root. Вы серьезно? Вы от нашествия представителей младших классов школы защищаетесь? Или все-таки от злоумышленников, которые являются членами преступных группировок, контролируют большие финансовые потоки и просто косят на своих собратьях бабло?

    Уважаемые представители отечественных неназываемых СЗИ и авторы многих учебников по ИБ, вы, когда говорите, что если дословно цитирую: «Программе Word запретить выполнение макросов, а ее процессу запретить запись на диск и работу с реестром, то система 100% защищена», вы правда так считаете?

    Давайте все порядку
    Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы и начался рост числа пользователей-домохозяек. А что делает любая домохозяйка? Правильно, совершает интернет-платежи, а там где деньги, туда слетаются как пчелы на мед рой различного отребья, которое хочет на этом безвозмездно поправить свои финансы. 90% домохозяек пользуются Windows – и вирусы разрабатываются под эту ОС, и только хотя бы 20-30% домохозяек перейдут на Linux, то туда сразу будут вливаться большие финансы под разработку вредоносного ПО. И отчеты антивирусных компаний показывают о медленном, но увеличивающемся количестве таких программ.

    Ок, вернемся к Бобу, единственная причина не беспокоится о своей безопасности одна – разработка троянца под его ОС нерентабельна. А вот так – экономически невыгодна, возможный доход злоумышленников будет меньше расходов. Долго ли так будет продолжаться — большой вопрос.

    Но все же, технически, насколько возможно, что Боба взломают и данные уведут? Если конек безопасности Боба в том, что он никому не нужен и вирусы под его ОС пока еще не пишут – то это игра в русскую рулетку.

    Алиса
    Алиса, подруга Боба, знает, что на счету Боба лежит кругленькая сумма монет, ключ лежит на ПК Буратино, и они вместе с Буратино решили сообразить на двоих. Что им для этого требуется: небольшой стартовый капитал, прямые руки Буратино и немного отваги.

    image

    Алиса знает, что Боб пользуется Ubuntu 14 LTS. Как себе представляет процесс взлома Боб? Он, как и большинство пользователей, считает, что Алиса отправит ему на почту файл с вложением, которое его попросят запустить и так как он считает себя спецом в области ПК и файл он не запустит, то конечно его данные в безопасности!

    Многоходовочка от Педро
    Тогда Алиса идет на некоторый безымянный и распространенный ресурс и покупает у Педро уязвимость в любимом браузере Боба за N-ое количество зеленых. Педро не только снабжает Алису технической информации об уязвимости, но и высылает для Буратино (подельника Алисы) пример как запустить.
    Уязвимость, которую получает Алиса – уязвимость нулевого дня в браузере Google Chrome. Например, недавно открытые дыры CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 и сколько их еще не закрыто и о них известно только в ограниченных кругах — большой вопрос.

    Как видно из описания уязвимостей Алиса может выполнить код в контексте процесса и работать это будет не только в ОС Windows, но и в Linux и Mac OS. Уязвимости взяты для примера случайным образом.

    Action
    Буратино составляет скрипт и записывает туда shell-код, который должен выполнится на целевой системе – ПК Боба. Для этого ему необходимо как-то передать ссылку. Первый вариант с почтой Алиса и Буратино сразу отмели – Боб осторожный пользователь и ссылки из почты не открывает. Тогда они решили немного сымпровизировать. Им известно, что Боб обычный человек и паранойей не страдает… ладно короче не суть, для простоты Боб, просто перешел по ссылке — Алиса уговорила.

    После посещения Бобом ссылки в контексте процесса его браузера выполнился небольшой код, который написал Буратино – буквально несколько команд, которые в дальнейшем загрузили тело вируса и перешли в его выполнение. Но как же. Боб уверен, что Алиса просто показывает ему свои фотографии, никакие файлы на диск не загружаются, предупреждений нет, паролей от root никто не спрашивает.

    Повышаем привилегии
    После того как разработка Буратино начала выполнять свои первые инструкции на процессоре Боба, стал вопрос, а что делать дальше? В теории Боба даже если и произойдет заражение, то ему ничего не будет, Боб поставил сложный пароль для root, да и вводить его вдруг во что бы то ни стало он не будет.

    Буратино с Алисой предусмотрели такой вопрос и заранее его решили. Тот же самый Педро подсказал им, что у него есть парочка уязвимости нулевого дня в ядре Linux, наподобие свежих уязвимостей в ядре версии 3.17 и 3.14 — CVE-2014-9322, CVE-2014-3153.

    Прочитав описание уязвимостей Буратино понял, что они позволят ему выполнить код в контексте ядра ОС Боба. И все что ему необходимо это чтобы его вредоносное приложение, воспользовавшись этими свежими дырами и выполнила код в ring-0.

    Пока ни о чем не подозревающий Боб рассматривает фотографии Алисы, код Буратины уже серьезно вторгся в просторы его системы и ни антивирус (его просто нет), ни чего-либо еще не могут даже отобразить сообщение об вторжении. Так как Буратино решил не останавливаться на достигнутом, то он пошел дальше. Попав на самый нижний уровень ОС Боба в котором предполагается выполнение только доверенного кода, Буратино начал поиск файла, который ответственен за запуск ОС. Как только ПО от Буратины нашло этот файл, оно модифицирует его таким образом, чтобы при перезагрузке ПК Боба продолжался выполняться код Буратины.

    Rootkit
    И так Буратино и Алиса получили доступ к ПК Боба под управление ОС Linux, но как им скрыть свое присутствие? Боб не дурак и каждые 5 минут проверят целостность системных файлов ОС. Для этого Буратино решили, что перезапишут код самой операционной системы, который загружен в память ПК Боба, но как? Ведь если те же действия провести на ОС Windows, то один небольшой системный компонент обнаружит это и принудительно перезагрузит ПК.

    Боб за свою безопасность не беспокоится – ведь даже если код злоумышленника и выполнится в ядре, то ведь в последних версиях ядра Linux системные области памяти защищены от записи. Даже если Буратино и попытается перезаписать код ОС в ОЗУ, то процессор выдаст ошибку и произойдет перезагрузка ПК.

    Тогда Буратино открыл документацию на процессор, который стоит на ПК Боба и стал изучать… Ему известно, что архитектура процессора Боба x86, но что это дает? Ведь на необходимые ему страницы в ядре стоит защита от записи. Тогда Буратино обратил внимание на регистр cr0 – небольшой блок памяти в котором хранятся данные с которыми работает процессор. А что будет если я 16-ый бит установлю в ноль, быстро перезапишу необходимые методы ядра и сразу же восстановлю регистр – подумал Буратино. И так и сделал, как оказалось если сбросить этот бит в ноль, то защиту от записи можно временно отключить.

    Таким образом Буратино получил полный контроль над ОС Боба, да уязвимость потом нашли и исправили, но программный код, который засел таким образом в ОС Боба уже никак не обнаружить. Ежеминутный контроль целостности показывает, что ни один файл в системе не изменен – программа Буратины просто подменяет его при чтении. Процессов новых нет – вредоносный процесс просто скрыт и если на другой ОС существуют решения, которые давно уже обнаруживают такие техники, то под ОС Боба такого нет.

    Вообщем, заключение, Алиса и Буратино сжалились над Бобом… и удалили все его файлы. Ах ладно, если серьезно, то никогда не будьте на столько фанатично уверенным в чем-либо. Я попробовал в легкой форме и без технических терминов изложить суть проблемы. Таким как Буратино совет не писать больше вирусов, всем Педрам сделать come out и сдать все неопубликованные уязвимости в публичный доступ для их исправления, а Бобу меньше верить бородатым гномам, не жмякать по левым ссылкам и думать своей головою. И используйте ту ОС, которая вам по душе! Абсолютно безопасного нет ничего. Надеюсь всем немного поднял настроение)

    P.S. Если интересно, то могу ближе к лету написать с примерами на C небольшую статью о перехвате функций ядра в последней версии Linux Kernel.
    Поделиться публикацией
    Комментарии 99
      +10
      P.S. Если интересно, то могу ближе к лету написать с примерами на C небольшую статью о перехвате функций ядра в последней версии Linux Kernel.
      Динамическое расширение ядра Linux — добавляем функцию «удалить в корзину»
      Встраивание в ядро Linux: перехват функций
      Встраивание в ядро Linux: перехват системных вызовов
      milabs
        +16
        ValdikSS Спасибо за упоминание и да, статья редкостный бред.
      • НЛО прилетело и опубликовало эту надпись здесь
          +40
          Про траву писать много ума не надо. По-моему, автор вполне внятно и аргументированно изложил свою позицию, в отличие от вас. Что-нибудь конструктивно ответить вы можете?
            +3
            Вообще-то это была скорее похвала.
            • НЛО прилетело и опубликовало эту надпись здесь
                +4
                Это было в основном про художественную часть повествования.
                Вроде же стандартные для рассуждений о информационной безопасности Бобы-Алисы (ну и нестандартный Буратино, конечно).
                В линуксах я не слышал чтобы употребляли термины ring для описания уровня выполнения кода
                А причём здесь ОС? Речь, вроде, идёт о процессоре.
                что мешает параноику-миллиардеру Бобу использовать для финансовых операций отдельный ноутбук с OpenBSD, хранимый в сейфе банка и зашифрованный паролями?
                А почему именно OpenBSD? Она по определению не взламываема?
                почему у Боба оказался бракованный процессор?
                А почему вы решили, что процессор бракованный? Буратино, вроде как, в документации про эту фичу прочитал.
                есть ещё сотни способов получить тоже самое оффлайн, дедовскими методами — это к узкому взгляду на ИБ как на процесс запрещения выполнения чего то там.
                Так посыл статьи, на мой взгляд, в том и заключается, что какую бы ОС вы не выбрали, это само по себе ничего не гарантирует вам в плане безопасности.
                  +1
                  > Вроде же стандартные для рассуждений о информационной безопасности Бобы-Алисы (ну и нестандартный Буратино, конечно).

                  Нестандартные. Активные злоумышленники обычно Мэллори (malicious) или Труди (intruder), но никак не Алиса.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Притом, что я вообще не до конца уверен что в линуксах используются ring для разделения, и что номера колец совпадают.

                      А как иначе? Или только защита страниц используется? Номера колец скорее всего те же, как минимум, кольцо 0 рекомендуется Intelом для системы. (Сейчас они используют Privilege level терминологию).
                    +1
                    Ерничать не стоит. У автора не стоИт такой приоритетной задачи, как взлом своей Ubuntu. Вероятно, что на бутерброд с икрой он зарабатывает другими методами.

                    Дыры в системе были есть и будут. Доказательством этого может служить хотябы то, что на той же Ubuntu обновления приходят каждый день. Кто-то использует люки при разработке, повышение привелегий в системе при специальном совпадении параметров и прочие прелести, облегчающие разработку и тестирование и успешно остаются в релизе до обнаружения. Но именно этот человеческий фактор дает повод для взлома. Не важно какая операционка, вы просто плохо искали.
                      +1
                      Ivan_83

                      ни одной лабы по взлому дома не собрал.

                      Можете похвастаться перед нами своими лабами по взлому? Или как-то ещё доказать, что Ваша квалификация выше квалификации автора статьи?

                      ASLR значительно затрудняет использование эксплоитов, без относительно системы в которой он есть.

                      Выражение не очень корректное. ASLR (Вы же помните, что эта технология есть в различных ОС, в т. ч. и Windows like, правда?) усложняет жизнь не всех эксплоитов. В основном классических: переполнение буфера\кучи. Но кроме этих эксплоитов есть и инженерные уязвимости, которым абсолютно побоку рандомизация адресного пространства. В Windows таким эксплоитом может считаться CVE-2010-2568. В Linux like CVE-2014-0160. В обычном случае CVE-2014-0160 не приводит к заражению системы. Но в некоторых случаях может и привести: есть системы с webmin, которые подвержены этой уязвимости. Или, например, VMWare Esxi (на которой могут работать различные виртуалки, в т.ч. Linux\OpenBSD и т.д.).
                      Да, можно говорить о том, что описанная ситуация — некомпетентность пользователей. Что «тру пользователь» не станет держать открытым для всего в интернете webmin и прочие сервисы. Но во-первых, автор в статье и пишет:

                      и начался рост числа пользователей-домохозяек


                      А во-вторых, как говорится: «в семье не без урода». А Вы, наверное, не представляете сколько таких «некрасивых людей» существует в мире. Вот вырезка из статьи: Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community:
                      Хотелось бы так же подчеркнуть что совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант, автор и сам в курсе. Но, уважаемые друзья, вы бы были удивлены насколько большие, важные и профессиональные люди пострадали, продалжают страдать и как их много оказалось.


                      И мой опыт (я расскажу о нём на PHDays2015) в очередной раз подтверждает: такие случаи далеко не единичны. Возможно, конкретно, Вы — тот самый идеальный пользователь\администратор. Но большинство, которое думает о своей неуязвимости — просто забыли о таком грехе, как гордыня.

                      Резюмирую: респект автору за то, что отважился написать статью. Возможно, несколько притянуто за уши. Но однозначно рациональное зерно в статье присутствует. Я бы сказал, что в каком-то виде может лечь в основу модели угроз.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Но Вы же вступили в диспут с автором, сомневаетесь в его квалификации. Т.е. всё же что-то утверждаете. Или нет? Вы спорите пытаясь отстаивать какую-то позицию? Или спорите просто чтобы спорить? Почему я не могу поинтересоваться Вашей квалификацией чтобы сопоставить Ваши слова с Вашим уровнем? Я вот имею свою точку зрения. Квалификацию свою не скрываю — можно в профиле посмотреть ссылки, по ним можно составить понимание обо мне (статьи, участие в качестве докладчика на тематических конференциях и т.д.). А Вы чего стесняетесь?
                          • НЛО прилетело и опубликовало эту надпись здесь
                        +1
                        Сожалею, что у вас сложились подобные стереотипы. Я работал на ОС Windows, потом несколько лет разрабатывал ПО под Ubuntu, и считаю, что у меня нет каких-либо фанатичных заблуждений по поводу безопасности той или иной ОС. Недостатки безопасности ОС Windows — это не тема моей статьи, я пытаюсь донести до читателей, что не стоит фанатично утверждать, что проблемы с безопасностью есть только в ОС Windows. Что и под Linux будут появляться и уже появляются вредоносные программы, что если об этом не задумываться, слепо стоять на своих убеждениях, то могут быть и финансовые потери.

                        Художественный же стиль изложения помогает объяснять сложные вещи простыми словами. Боб и Алиса известные персонажи в области ИБ, обычно они передают информацию и злоумышленниками не являются, но вот это так важно зацепляться за это? Суть статьи же не в этом.

                        И вот опять, «отдельный ноутбук с OpenBSD» — говорите Вы. Почему OpenBSD, а не какая-либо другая ОС? В процессе ее эксплуатации не было обнаружено ни одной уязвимости, которая позволяет выполнять код в kernel mode?

                        В ядро лезть смысл есть всегда — обнаружить вредоносный код, который засел у вас в ПК будет очень сложно. Курить бамбук можно конечно долго, но вирусы уже давно не пишут группами по 2-3 человека.

                        Что значит бракованный процессор? Возможность обойти запрет на запись в закрытых на это страницах — это документированная возможность всех процессоров x86 и это известно всем. Это и не баг, так должно быть, этим я показал, что нужно осторожно вести аргументацию в области ИБ, иногда вещи в которых вы уверены, оборачиваются наизнанку.

                        А вы уверены, что технология ASLR хоть как-то затрудняет выполнение shell-кода в ядре? Я конечно могут ошибаться, но ASLR разве не затрудняет реализацию уязвимости только в user mode? Разве не так? Да и не про ядро Linux или Windows тема, при чему тут ядро.
                          +1
                          Слушайте, а зачем рут, чтобы спереть данные конкретного юзера, если он не применяет экзотических инструментов защиты своего окружения? Подсовываем левую либу через переменные окружения перед запуском интересного процесса — и видим всю его память, как на ладони.
                            0
                            Для того, чтобы спИрать и быть незамеченным, а не спЕреть раз и быть отловленным на «левой либе».
                          • НЛО прилетело и опубликовало эту надпись здесь
                      +13
                      Вот как объяснить различным пользователям Windows, что нельзя работать без антивирусной защиты?

                      Вот как объяснить что::
                      1. Антивирус вас не спасёт ибо не даёт никаких гарантий(ссылка на авторитетный источник)
                      2. Без антивируса можно спокойно жить и работать пользователям Windows/Linux/MacOS, есть набор правил которые можно соблюдать чтобы свести вероятность заражения к минимуму, и да это можно объяснить даже мамам и папам у меня по крайней мере получилось, есть даже методы для место общественного пользования ПК, и есть пример 3 летней работы WinXP без переустановок и вирусов.
                      3. Как не странно Linux и MacOS гораздо безопасней, как минимум по той причине что они менее распространены в бытовом секторе, значит они меньше волнуют тех кто занимается массовым заражением, что и составляет подавляющий процент заражение пользователей, грубо говоря на данный момент неуловимый Джо никому нафиг не нужен.
                        0
                        10 лет назад — да. Mac OS X is the most vulnerable OS, claims security firm; Debate ensues.
                          +11
                          Кстати, да — я вот задолбался объяснять, что антивирус не панацея.
                          Особенно в корпоративном секторе с этим бяда — сказал CIO, что антивирь должен быть — и все вопросы побоку. А то, что разрабам приходится под админом работать (aka MakeMeAdmin), потому что создать админский аккаунт (тех-юзера), тупо для скриптов, перестартовки и дебага серивисов, ну никак низя, это никого не волнует. И то, что полиси через одно место настроены, тоже.
                          Зато антивирь блин на серверах, со всеми вытекающими.
                          Вот недавно бились с одним известным антивирусом (доказуемо бажным, вероятно где-то в районе аналитики и очередях real time scanning) — при очень большой загруженности сервера (32 ядра >= 50% cpu load):
                          — эта скотина блокирует (от нескольких миллисекунд до 30 секунд!) доступ к файлам, после их переименования — в результате многопоточный pipeline (очередь заданий) периодически вылетает с «access denied» при доступе например к временным, только что созданным и затем переименованным файлам;
                          — или того хуже, кладет дочерние процессы спать (suspended) и забывает их «разбудить», а поток в предке бесконечно ждет окончания работы уснувшего дитя.
                          И ведь отключить его в продакшн на серверах никак не можно (даже временно в качестве доказательства, т.к. таким антивирусом как правило они себе одно место прикрывают).
                          И растет — растет число велосипедов типа «safe_rename», «real_delete» или «start_process_with_observe» вокруг проекта. Я уже молчу о времени исполнения — тот же CIO быстро пересмотрел бы свою позицию, если бы ему (его подразделению) коллективный счет выставить за суммарное время «простоя» (ожидания) всех сотрудников.
                          Эх, поувольнял бы всех к чертям… будь моя воля.
                            0
                            У CIO своя работа есть. Не все требования к средствам защиты информации являются техническими. Пример — habrahabr.ru/post/256735.
                              0
                              Я совершенно четко представляю откуда у таких требований ноги растут. И частно это действительно условия клиентов-заказчиков, требования материнской или партнерской компании или де-факто стандарты индустрии, которым нужно соответствовать.
                              Но, дело в том что технически как раз некоторые вещи, что касается безопасности, совершенно не оправданы, мало того совсем «не секьюрны», мало того мешают как разработке, так и продуктивной работе того же клиента.
                              И если прикрывая свою пятую точку, решаешь соответствовать требованию безопасности от лукавого (прикрываясь фальшивыми «стандартами»), то сделай это хотя бы включая голову, так чтобы это не влияло (ну или минимально влияло) на продуктивность.

                              Вобщем, коротко ответить не удалось — ответил постом здесь.
                          +9
                          With all respect, после «Давным-давно, когда Linux только зарождался, его пользователи в большинстве, были профессионалы. Но со временем появились удобные для простого пользователя в работе дистрибутивы, и начался рост числа пользователей-домохозяек.»
                          Вру. Мой личный ахтунг начался с «Давайте все порядку».
                          И, да:
                          1. Антивирус от деменции не спасает
                          2. Linux много безопаснее хотя бы в силу отсутствия дефолтных шар
                          3. По факту, чтобы реализовать описанную атаку, необходимо схождение такого количества звёзд на небе, что я прямо не знаю, есть ли их столько.

                            +2
                            Кстати говоря, рут доступ не обязателен, все личные данные, как правило, хранятся в домашней директории пользователя. Поэтому просто использовать очередную уязвимость в браузере никто не мешает.
                              +1
                              Кстати говоря, на этот случай давно придумали selinux и systemd
                              Надеюсь, дистры дойдут до понимания полезности этой фичи.

                              Да и qubes-os есть, можно его себе на коленке организовать =)
                              0
                              А вот интересно, кстати, увидеть срез по видам Линуксовых дистрибутивов с точки зрения удачных атак. Получается, что у Гентушников должны быть самые неприступные системы? А как обстоят дела на самом деле?
                                0
                                Мне кажется наоборот. Начинающие гентушники слабо представляют, как грамотно тюнить и харденить софт. Им принцип важнее, мол, я кросавчег, собрал себе генту.
                                  0
                                  А смысл? Какой-то странный способ самоутверждения. И мне кажется, что все-таки даже начинающий гентушник, по идее, всяко опытнее чем устанавливающий убунту новичек. Ну во всяком случае, по логике должно так быть. Как оно на самом деле — сложно сказать… По моему опыту общения, паранойя, судя по всему, оправданная, в этой категории линуксоидов была максимальной.
                                    0
                                    Ну во всяком случае, по логике должно так быть. Как оно на самом деле — сложно сказать…

                                    Должно быть, но, к сожалению, это не так. Многие генту ставят для обучения, по советам друзей, без знания, как эта система вообще работать должна.
                                    По моему опыту общения, паранойя, судя по всему, оправданная, в этой категории линуксоидов была максимальной.

                                    Это тоже субъективно. Там есть некоторая часть людей, которые систему знают и имеют определенную паранойю по поводу безопасности, но таких мало. Не знаю, хорошо это или плохо.
                                      +1
                                      Нормальный такой способ самоутверждения — поставил себе задачу, достиг цели, рад за себя (:
                                      На счёт «опытнее» — это только кажется что как-нибудь собрать генту — сложно. Очень многое там можно сделать тупо перепечатав из хэндбука команды, при чём то, что между ними — можно вообще пропускать до первого факапа (%
                                        0
                                        Вообще да, легко собрать, но чаще поставить бинарный пакет от опытного мэйнтейнера в том же Дебиане и быстрее, и качественнее получится.
                                          0
                                          Но тут отпадает момент крутости — «Я смог! Я крутой! А все вокруг — унтерменьши».
                                            0
                                            Хехе ) Это да.
                                  +2
                                  Пожалуйста, не приписывайте мне, что я утверждал, что антивирус может спасти от взлома. Речь шла о минимальном уровне защиты обычного пользователя windows. Поверьте, на небе звезд столько, что хватит и не на это)
                                    0
                                    Однако, статья создала впечатление примерно следующее: Винда и Линукс дырявы, но на винде у людей есть антивирус, а вот под линуксом…
                                    Далее идет описание теоретической атаки к которой антивирус никаким боком. Странный риторический приём, непонятно на кого рассчитанный.
                                  0
                                  А есть где-то статистика как под Windows происходит распространение вирусов сейчас? В смысле какой процент вирусов ловится через такие уязвимости, а какой через старый добрый запуск подозрительных файлов? И были ли какие-то попытки анализировать рынок уязвимостей 0-day? Все же думаю большая часть идет на продажу, а не на самостоятельное использование.
                                    +2
                                    Самое важное — понимать, что вас всё равно взломают, а то и сами сломаете. Потому нужно заботиться о безопасности информации хранящейся в электронном виде, шифровать и бэкапить, тем самым миниминизируя потери.
                                      –1
                                      Windows и Linux разрабатывались изначально с разными приоритетами.

                                      Windows: давайте дадим пользователю делать все, что угодно, если давить на пользователя ограничениями из соображений безопасности, то система будет не такой удобной. Зачем заморачивать пользователя какими-то непонятными ему правами и пользователями. В нашей системе все пользователи — суперпользователи, а разграничение прав вообще не нужно.

                                      Linux: необходимо разделять привилегии и следить за правами, чтобы система была безопасной и надежной.

                                      Сейчас все меняется и в Linux, и в Windows, но у Windows остается тяжкое наследие. Но в Linux еще появляются такие вещи как SELinux, AppArmor, контейнеры и т. п. Правда это уже за пределами понимания домохозяек.
                                        +2
                                        Зачем заморачивать пользователя какими-то непонятными ему правами и пользователями. В нашей системе все пользователи — суперпользователи, а разграничение прав вообще не нужно.

                                        Linux: необходимо разделять привилегии и следить за правами, чтобы система была безопасной и надежной.
                                        Ну это… как бы не надо смешивать в таких вопросах 9x и NT. Про первую и так всё понятно. Но когда в NT уже были нормальные ACL даже сам линукс ещё только в зачатке был, не говоря уж про нормальные «разделять привилегии» в нём, которые гораздо позже начали со всех сторон туда впиливать.
                                          0
                                          Они были реализованы, но практически не использовались. В Linux разделение прав использовалось сполна. Я могу ошибаться, но по умолчанию в NT практически никакие разграничения не были настроены, надо было самому настраивать, если вдруг захотелось использовать все возможности защиты.
                                            +2
                                            Они были реализованы, но практически не использовались.
                                            Вы про windows сейчас? Т.к. из контекста не очень понятно, а всё на самом деле частично наоборот.
                                            В Linux разделение прав использовалось сполна.
                                            Какое такое в линуксе «разделение прав» сполна использовались в то время? Которые только файловые? Которые кучкой битов? Ну смешно же даже сравнивать)
                                            Вы образно знакомы с ACL в винде? С их reference monitor итд?
                                            Вы же не про posix acl которого как бы нет? Сколько попыток было что-то похожее сделать и сколько живых на данный момент?)
                                              0
                                              ACL были, но не использовались. Не знаю как сейчас, а в NT и более поздних системах (не помню до какого года), установленная система позволяла писать куда угодно. Что толку было от ACL, если:
                                              — установка по умолчанию их не использовала
                                              — настройка разграничения, чтобы обычный пользователь не мог лезть куда не следует, была сложной и чреватой проблемами (большинство ПО просто не ожидало, что ему нельзя будет писать в системные каталоги и файлы).

                                              Как сейчас не знаю, этот разговор вообще опасно продолжать для кармы, так как любая критика приводит к минусам.
                                        +2
                                        megamozg.ru/company/pomodoro/blog/14716
                                        Говорю, пишу, аргументирую, предостерегаю, советую… а выглядит это будто я — трус, скептик пессимист, скряга и вообще ничего не понимаю в гениальных идеях.
                                        Итого, вывод простой: готовые советы в чистом виде без личного опыта бесполезны.

                                        так и с безопасностью линукса. сколько ни говори о том, что абсолютной безопасности не бывает — пока не столкнутся — не верят. типичное поведение клиентов, уверенных в своих «знаниях». увы
                                          –1
                                          >>> разработка троянца под его ОС нерентабельна. А вот так – экономически не выгодна, возможный доход злоумышленников будет меньше расходов
                                          Точка. Усилия обеспечения безопасности должны быть соразмерны угрозам. Линукс — не цель для «ковровой» атаки, а таргетированая моей собаке не грозит.
                                            +4
                                            Ковровой атаки на пользователей — да, а ботнеты из веб-серверов насчитывают тысячи машин.
                                              0
                                              Речь изначально шла о пользователях, сервера — это уже совершенно другой мир. Там основная угроза — уязвимость сервисов, а на десктопе основная угроза — тупость пользователя.
                                            +15
                                            Честно говоря, меня больше пугает другой вектор атаки. Репозитории переполнены различными приложениями. Многие из них периодически обновляются. Никто не мешает разработчику внести в свой собственный код замаскированную уязвимость, или даже не замаскированную. Таким образом после обновления приложения часть пользователей окажутся уязвимыми. Встаём перед фактом отсутствия root-доступа. Но вот вопрос, а зачем он нужен? Вспомнить эти недавно расплодившиеся крипто-вирусы, которые шифруют ваши личные файлы, а затем требуют перевода денег для расшифровки. И зачем им root-доступ? Мне всегда казалось, что самое ценное, это как раз ваши личные файлы, а уж они то, в подавляющем большинстве случаев, вам доступны. Про нестандартные репозитории молчу… Там вообще возможен полнейший мрак.

                                            P.S. сильно не «пинайте», мало что понимаю в области безопасности…
                                              +1
                                              Было же популярное приложение (если не ошибаюсь — Яндекс.Диск), в котором авторы случайно переборщили с rm -rf и накатили это обновление пользователям. Так что описанный Вами кейс вполне реален, учитывая, что для доверенных приложений просьба рута выглядит не так пугающе (по-крайней мере для меня) :)
                                                0
                                                Оно разве опенсорсное было? Да и не rm -rf там было, а что-то под Винду.
                                              0
                                              Почти нет ПО, которое разрабатывается одним человеком — большинство коммитов ревьювится несколькими людьми, т.е. им как-минимум им нужно договориться между собой. Кроме того, разработчики, как правило, не анонимны, т.е. от своего имени коммитить вирус — странновато. Идём дальше — в «стабильные» ветки дистрибутивов ПО включается тоже не просто так — кто-то решает (например, для Убунты — Canonical), что войдёт в тот или иной дистрибутив. Ну и последняя линия обороны — админы компаний, которые решают какие патчи накатывать, а какие нет. Весьма сложно пройти весь этот путь незамеченным.
                                                +2
                                                Почти нет ПО, которое разрабатывается одним человеком
                                                Если ПО мелкое, то чаще всего активных разработчиков мало или он вовсе 1. Вам не приходилось отказываться от любимой программы ввиду того, что автор на неё забил по личным обстоятельствам?
                                                т.е. от своего имени коммитить вирус — странновато
                                                Если я не ошибаюсь, то те же бэкдоры, обычно замаскированы под опечатки или типовые ошибки работы с памятью. На самом деле не сложно организовать неявную, но опасную, дыру. Другое дело, что если ПО не торчит каким-нибудь портом наружу, а должно само загрузить тело вируса из сети, то тут всё сложнее. Но, я думаю, не стоит недооценивать людей и их фантазию.
                                                «стабильные» ветки дистрибутивов ПО включается тоже не просто так — кто-то решает (например, для Убунты — Canonical), что войдёт в тот или иной дистрибутив.
                                                У меня есть серьёзные сомнения в том, что ребята из Canonical с лупой разглядывают каждый commit каждого приложения… Это же попросту нереально.
                                                  0
                                                  Поддерживаю.

                                                  В open source проектах действительно много legacy кода с явными ошибками, которые кочуют из версии в версию.
                                                  Можно скачать любое более-менее популярное клиентское ПО и найти парочку багов за пять минут.

                                                  А если уж просачиваются явные баги, то и внедрение back door не представляет сложности.
                                                  0
                                                  Вы пропустили переход между скачиванием исходных файлов и сборкой бинарного пакета. Там может произойти что угодно. В некоторых дистрибутивах на этом этапе даже какие-то патчи автоматически накладываются, так что ничто не мешает и автоматически бэкдор добавлять в каждую сборку.
                                                +4
                                                Вообще суть посыла верная. вирусне под линукс/макось быть — пока это просто экономически нецелесообразно.

                                                А вот аргументация — сильно неверная и устаревшая. Слишком много НО или ЕСЛИ.
                                                  –3
                                                  Поразительной узости пример.
                                                  Боб вполне может быть параноиком и иметь дома две машины в разных подсетях за маршрутизатором без каких либо открытых портов. С одной машины Боб «ходит в браузер», с другой — занимается своими финансами и больше ничего.
                                                  Вобщем можно сделать столько всего интересного, что заголовк попахивает группой вконтактига для 13летних «как вычислить соседа по айпи»
                                                    +1
                                                    Тогда ОС практически не имеет значения, не так ли?
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        Ага, имеет, если используете dlink сами себе злобный буратино. А вообще, даже роутер может быть кастомным, с доступом только через аппаратную консоль и логгированием на принтер. Параноик много что может придумать, статья от этого не теряет свою узость и желтизну заголовка.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                    +1
                                                    Компьютерные вирусы, так же как и обычные вирусы могут распространяться только в более-менее однородной среде — тут можно упомянуть тот-же android, который по сути тот-же linux. Как правильно отметил автор статьи сейчас вирусописание — это бизнес, а значит имеет свою экономику. Так вот, если рассматривать вопрос с точки зрения экономики то написание вирусов под linux не имеет большого смысла, и тому есть несколько причин — 1) кол-во «популярных» дистрибутивов: надо либо затачивать код под разные дистры и их версии, либо выбирать только один «самый популярный», что на самом деле не так уж и много 2) время реакции на новые уязвимости у популярных дистров (и не очень популярных) очень мало, а за этот срок надо написать код вируса, оттестировать его и распространить. 3) надо учитывать что дистрибутив линукса и версия Windows — это далеко не одно и тоже самое. Дистр линукса — это ядро линукса (у каждого дистра своё) и набор программ (браузеры, среда раб.стола, всякие клиенты и т.п) и ИХ ЗАВИСИМОСТЕЙ (библиотеки, утилиты, компиляторы, интерпретаторы и т.п.), которые очень сильно отличаются у разных пользователей. 4) Архитектурная особенность линукса (которая напрямую связана с лицензией на ядра и других его частей) — «модульность» системы. Этот пункт частично перекликается с предыдущем. Подавляющая часть программ в линуксе не монолитна, а имеет зависимости в виде библиотек, утилит и т.п. как-бы «вспомогательного» ПО. Дистрибутив линукса — это и есть некий набор пользовательского софта определенных версий и необходимых для его работы зависимостей также определенных версий и спец. системного ПО, которое следит за целостностью всего этого набора («пакетные менеджеры», «репозитарии», ..). Так вот эта «модульность» гарантирует что очень сложно найти две похожие системы. И если вы вдруг обнаружится дыра в каком-то ПО, не факт что это ПО, да и еще часто определенной версии будет присутствовать везде — а это необходимое условие для распространения вирусов.

                                                    Все это разнообразие линукса имеет как свои преимущества, так и свои недостатки. Это не хорошо и не плохо, это вот так есть. Но в данном конкретном случае это архитектурная особенность линукса передает ему по-наследству некий встроенный имуннитет, так как делает экономику вирусов нерентабельной или очень низко рентабельной.

                                                    З.Ы. Этот коммент рассчитан не на спецов в области СПО
                                                    З.Ы.Ы. С некоторыми поправками этот текст можно отнести и к другим популярным открытым системам — например FreeBSD
                                                      0
                                                      Линукс хоть и неоднороден, но это не такая великая проблема. +N $ к разработке, только и всего. Например, Nvidia распространяет драйвера под линукс тремя .run файлами (x86, x64, ARM) на все дистрибутивы и все ядра. Никто не мешает вирусописателям воспользоваться их опытом.
                                                      Требуются разные версии софта? Тоже не проблема — современные вирусы используют не одну уязвимость, а десятки, в надежде на то, что хоть какая-то «пробьет». Как обычно +N$ к разработке. Время реакции на опубликованную уязвимость маленькое, время реакции на неопубликованную может измеряться годами. Heartbleed существовал 2.5 года.
                                                      Все упирается только в нерентабельность. Неуловимый Джо такой неуловимый.
                                                        +1
                                                        Согласен. Но собственно, я как-бы к этому и подводил. Технически можно написать некий мега-вирус, который будет учитывать все эти аспекты, но каждый такой аспект это иногда даже не *N к затратам на разработку, а ^N. Так что финансовый смысл всего этого остаётся под вопросом.
                                                        +1
                                                        Android != GNU linux. От линукса в нем только ядро, busybox и libc. Да и ядро модифицировано, а busybox обрезан. Плюс большинство новостей об уязвимостей Андроид начинаются с «пользователь устанавливает взломанную программу из стороннего репозитария», или «если у пользователя есть root».
                                                        В последнее время больше неприятностей пользователям в Windows доставляют как раз Not-a-Virus и всякие AdWare (и продукты mail.ru/yandex) против которых антивирусы бессильны.
                                                          0
                                                          Опять согласен. Я поэтому и сказал, что можно только «упомянуть», что «по сути тот-же linux». Подразумевалось, что хоть и тот-же линукс, но не совсем линукс (а скорее — совсем не линукс). также см. З.Ы. моего коммента.
                                                        +2
                                                        Эка вы свой комментарий раздули, только с эмоциями переборщили.
                                                        1. Для атаки надо знать тип и версии системы, ядра и браузера. Может проще клиента усыпить, соблазнить, наконец с трупа.
                                                        2. А стоимость эксплоитов соответствует стоимости полученных данных, не дешевле подкупить их хранителя?
                                                        3. В случаях неизвестных уязвимостей антивирус не спасет.
                                                        4. Если данные действительно ценны, то они будут зашифрованы.
                                                        5. Параноики могут использовать доверенным загрузку, блокировку записи системного раздела и браузер в эмуляторе или даже написать поток, который отслеживает cr0.

                                                        Сценарий из 2 части к/ф матрица мне кажется более реалистичным.
                                                          –1
                                                          1. достаточно браузера даже без версии. И запуститься только на джаваскрипте. Скажем для переопределения настроек сетевых устройств
                                                          2. увод всех денег компании через комп главбуха
                                                          3. вы не поверите, но может спасти, ибо антивирус — защищает от вирусов, а через что они ползут — без разницы (ну почти)
                                                            +1
                                                            1. А давайте, чтобы не быть голословными, проведем эксперимент. Браузер firefox. С вас ссылка. Если согласны на условия, то можно обговорить призовой фонд.
                                                            3. Антивирус удаляет уже «скаченные» вирусы, а защиту от них обеспечивают мозги, песочницы, файрваллы, обновления и т.д. и т.п.
                                                              0
                                                              1. ссылка на вирус? не распространяем :-)
                                                              А так — первое, что нашлось в инете tjournal.ru/paper/router-hijacking-dns-malware

                                                              3. Нет. Модуль проверки трафика. В принципе есть также антивирусы, интегрированные во всякие файрволы

                                                              А вот за несогласие со своим мнением минусовать…
                                                                +1
                                                                1. Это не распространение, а научный эксперимент. Смелее, это не будет попадать под УК, потому как я разрешаю вам получить доступ к моим данным.
                                                                жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript

                                                                Здесь роутер предварительно заразить надо, а как это сделать инструкции нет.

                                                                3. Это вопрос исключительно формулировок.

                                                                А вот за несогласие со своим мнением минусовать...

                                                                Это не ко мне, я использую этот инструмент только в особо вопиющих случаях. И скорее всего это за орфографию и пунктуацию.
                                                                  0
                                                                  Не могу. По двум причинам. 1. Распространять запрещено безоговорочно. 2. Я не исследователь. Как раз ломать не обучен

                                                                  К сожалению сходу еще одну новость не нашел, но там было примерно так:
                                                                  — вирус запускался в браузере
                                                                  — если использовались дефолтные пароли для роутера — менял настройки
                                                                  Использовалось это для перенаправления сайтов.

                                                                  За обвинение в минусовании — извиняюсь.
                                                                    0
                                                                    Не совсем обещанное (нет описания внедрения), но тоже пример того, как встраивается в браузер — habrahabr.ru/post/255333
                                                                +1
                                                                ибо антивирус — защищает от вирусов...
                                                                Я бы поправил тут, все-таки — защищает от вирусов, либо известных вашему антивирусу, либо найденых через эвристику и иже с ней. Смысл в том, что сегодня любой ребёнок (ну одаренный) может на коленке написать зловред, не детектящийся ничем (до поры — до времени, но все же). Иии?
                                                                Защита построеная на антивирусе (или только на нем) — не защита, а пшик.
                                                                Кстати, косвенно это подтверждает и тот факт, что везде где я «лечил» компьютеры от вирусов, стоял современный антивир и базы были актуальны… (отвечал как-то раз тут).

                                                                Я вам открою страшную тайну — заберите у юзера права, запретите политиками исполнять файлы из временных и юзерских каталогов (в идеале отовсюду куда он может писать) — и на 99% на компьютер не пролезет никакая дрянь — без всяких антивирусов.
                                                                Второй момент конечно — повышение привилегий, но и от этого можно защититься (запатентую — расскажу обязательно;)
                                                                А вообще я вот до сих пор не понимаю, почему например разрабы браузеров и тех же мыльных клиентов не сделают запуск себя в «песочнице», т.е. совсем без прав (дарю идею). Т.е. до плагинов худо-бедно добрались (хотя права я бы совсем отобрал), а вот с самим браузером — как-то не доходит.
                                                                В юнуксовых, это уже издавна практикуется, вот вам например как выглядит тот же nginx:
                                                                s-root          nginx: master process /usr/sbin/nginx
                                                                usr-wo-rights    \_ nginx: worker process
                                                                usr-wo-rights    \_ nginx: worker process
                                                                ...
                                                                
                                                                Т.е. все воркеры тупо «без» прав (ну не совсем, но могут только то, что им разрешено). Хотя я и мастера из под рута редко пускаю…

                                                                И совсе уж по секрету, у меня дома зоопарк компьютеров, ни на одном сроду не было ни одного антивиря, но и не одного вируса. Хотя домашние — чайники поголовно. Но безправные чайники…
                                                                  0
                                                                  все именно так.
                                                                  Только вот песочницы не панацеи:
                                                                  — вирусы на время проверки их в песочнице затаиваются и ничего вредоносного не делают
                                                                  — песочницы тоже ломают. Пример Лаборатории Касперского удалившего ранее сильно хвалимую песочницу из компонент и оставившую ее только для внутренних нужд
                                                                    0
                                                                    Вы не путайте «песочницу» с песочницей (я вам совсем про другое рассказывал)…
                                                                    И к «затаиваться» это не имеет ни малейшего отношения.
                                                                    Для примера, просто представьте, что запуск любого процесса из воркера браузера в принципе запрещен.
                                                                    Хотя в теории достаточно просто запретить исполнение из каталога, куда может писать воркер (юзер) браузера (temporary files etc.), всех процессов поголовно.
                                                                    И да, я знаю про всякие болячки типа загрузки dll в проводнике и т.д. И про инъекции и переполнение буфера тоже. Но это все же болячки, и в идеале — лечится тоже довольно просто.
                                                                    И главное, что в этих случаях ваш антивирус вас тоже вряд ли спасет.
                                                                      0
                                                                      Все вами полностью правильно написано. Сорри, что написал так, что непонятно.

                                                                      Собственно проблема с запретом всего и вся только одна — мы не знаем что нужно запретить. Иногда читая описания концептов вредоносного просто поражаешься фантазии — куда пытаются залезть.

                                                                      не в укор и не в противоречие вам — был на моей памяти продукт, который запрещал все — итог синие экраны. Хотя админы за него были обоими руками. То есть легитимные программы куда только не лезут. А даже админ не знает куда и какой запрет будет критичен. Нужно ставить такую систему на обучение на долгое время. потом вручную разрешать для программ нужные им места. Долго, муторно и без гарантии, что при очередном обновлении не переиграется все. Ну и плюс под правами обычной программы может полезть вредоносная :-(

                                                                      Нету счастья в жизни. А так да. Антивирус не всесилен и в ряде случаем можно (и иногда даже нужно) без него
                                                              +1
                                                              Про взлом писать трудно, наверное, так как всегда трудно оценить количество людей на него способных.
                                                              Но можно оценить количество исходных кодов, необходимых для развертывания стандартной системы Linux. Под стандартной системой понимается система с графической средой и 20-30 прикладными программами…

                                                              В среднем люди тратят иногда несколько дней на то, чтобы прочитать руководство по установке системы и ввести в терминал 30-40 команд. За примерами ходить не надо — установка Gentoo.

                                                              Сколько уходит на установку Linux from scratch, я думаю, тут некоторые знают.
                                                              К чему я все это? Никаких конкретных выводов делать не буду. Однако, в настоящий момент ситуация представляется такой: если один человек способен собрать сервер с Linux From Scratch, а другой человек, который неделю тратит на установку Gentoo и поиск проприетарного драйвера, вероятнее всего, взломать сервер не сможет.
                                                              (Речь не идет об инженерах Berkley, DARPA, Массачусетского технологического института).

                                                              Еще пища для размышлений, количество программ за последние 10 лет увеличилось в разы (вместе с этим увеличилось количество ошибок и уязвимостей — opennet.net не даст соврать), отследить, что попадает на собственный рабочий компьютер, порой, не представляется возможным. В связи с этим приходится логику защиты выстраивать иначе. В задачах защиты данных иногда применяются решения, при которых взлом возможен только теоретически, так как объект для взлома отсутствует.

                                                                0
                                                                В среднем люди тратят иногда несколько дней на то, чтобы прочитать руководство по установке системы и ввести в терминал 30-40 команд. За примерами ходить не надо — установка Gentoo.

                                                                Вы бы еще слакварь образца 2000 года вспомнили. Не буду говорить за генту, ибо не держал, но все эти распространенные убунты/дебианы/центосы/рхелы/минты при установке требуют не больше извилин, чем винда: скачал, нарезал, жмяк-жмяк-далее-далее, готово.
                                                                  0
                                                                  Само веселье, обычно, начинается сразу после установки: то драйвера на видеокарту не работают (или работают, но не целиком — в играх, к примеру), то переключение видеокарт между встройкой и дискретной не работает, то еще какая фигня приключится с драйверами приключится. Притчей во всех языках уже стала проблема с раскладками, которую встречали, хотя бы единожды, примерно половина пользователей GNU\Linux, далее проблема, что компьютер или не засыпает или не просыпается из сна (последнее даже смешнее), установка ПО из репозитариев (особенно сторонних) также может доставлять, особенно если реп расчитан на 2 активных LTS'a, а человек пытается его подключить с не-LTS дистрибутива.
                                                                  В общем, необходимость думать головой никто не отменял, несмотря на то, что установка самого дистриба действительно проходит по сценарию «скачал, нарезал, жмяк-жмяк-далее-далее, готово».
                                                                    0
                                                                    Вы правду сказали, но изначальноес спокойное чтение документации и рекомендаций сокращает время на поиск решения потом, а также часто объясняется, чего стоит делать под Linux, а чего не стоит. Все это очень субъективно, так как и набор задач у всех разный.
                                                                    За себя лично под Win монтаж видео, работа с графикой.
                                                                    Разработка, скрипты, программирование и т.д. — лучше переключиться в Linux.

                                                                0
                                                                А чего тут держать: идея простая — есть репозитарий, в нем пакеты, некоторые из них особенно тщательно проверяются сообществом, но все равно не все. Есть контрольные суммы этих пакетов. Если собираете сервер, то обычно — это набор минимум, т.е. с учетом постоянного рефакторинга пакетов, наличия контрольных сумм, риск получения уязвимости сильно снижен, но, вероятно, все равно не исключен. Но речь именно о снижении риска, это и есть задача и речь именно о серверных решениях.

                                                                На рабочем пользовательском компьютере невозможно
                                                                проконтролировать ни под какой системой все возможные уязвимости.

                                                                Ну и ввиду увеличения объема программ и снижения количества людей, способных на взлом, сильно снижена его вероятность, а даже если они есть эти люди, то ради спортивного интереса сейчас уже никто не будет ломать ваш домашний компьютер — тратить на это драгоценное время.

                                                                В современных условиях взлом пользовательского компьютера не имеет никакого смысла еще и с учетом того, что большую часть информации этого пользоветеля гуляет по сети, висит в почте, на всяких яндекс.дисках, дроп.боксах и т.д.
                                                                Мало того, даже она — эта информация — оказывается никому нафик не нужна, потому что и анализировать-то ее некому.

                                                                  0
                                                                  Я так и не понял чем закончилась история про собачку, школьников, Ubunt'у, myDocument.dox файл и MS Word. Последний участник драмы (MS Word) вызывает особые подозрения, так как Ubunta далеко не его экосистема, и есть подозрения что ваш компьютер попахивает алкоголем (Wine). Но блин, даже в этой хитрой схеме что-бы навредить, надо как минимум работать с IE и Outlook и тогда возникает вопрос о целесообразности установки Ubunta и предоставлении ему прав root. Похоже тут вина не пользователя (собачки) а администратора который допустил такой беспредел и за что он ненавидит собачку заставляя ее работать с программами от MS под Linux.
                                                                  И да, не думаю что автору нравится убунта когда он приводит такие примеры.

                                                                    +1
                                                                    По-моему, спорить тут нечего. Linux-based ОС ломают давно и не менее успешно, чем винды. Подыми любой dedicated-сервер — и тебе немедленно начнут стучаться во все порты юные кулхацкеры. Что такое Shellshock, если не уязвимость Linux-а?

                                                                    Что, это совсем другое? Это не «вирусы»? А какая эффективно разница?

                                                                    Плюс я не очень понимаю рассуждений «злоумышленник не сможет повысить права до рута» или «злоумышленник не может скрыть присутствие». Если мы говорим об уводе каких-то ценных данных, то и не надо повышать права и скрывать присутствие — документы мало кто под рутом хранит, знаете ли.
                                                                      0
                                                                      Вирус — это не только одноразовые программы для увода данных кредитных карт. Из публичных источников информации известно, что небольшой процент вирусов пишутся и разрабатываются группами, интересы которых давно совпадают с интересами отдельных государств. Наверное, это не тема для обсуждения на хабре, но те кто связаны с ИБ, возможно, частично согласились, а может и нет, с моими посылами. В таком случае ценные данные — это не только документы в директории /home/user, и вирус может внедряться и существовать годами. Документы могут и не храниться под рутом, но доступ к ним, с помощью дополнительных механизмов защиты, может быть разрешен только определенным программам. Согласен, что немного перегрузил текст утрированными примерами.
                                                                      0
                                                                      А почему нельзя сделать браузер для домохозяек, работающий из под отдельной ВМ и пишущий на её же виртуальный диск? 95% заразы отвалится, ещё 5%, атакующих и браузер и ВМ будет нерентабельна. Если домохозяйка скачала котиков — пусть сама копирует. Запустила екзешник — не беда, при следующем запуске ВМ проверяет целостность всего и перераспаковывает себя. Но надо сделать так чтоб всё было просто, а не пляски с бубном и инструкции на сто двадцать пунктов.
                                                                        +1
                                                                        Потому что браузер из-под VM работает как говно, например.
                                                                          0
                                                                          Не аргумент. Надо всего-лишь разобраться, почему и сделать из говна конфетку :)
                                                                            +1
                                                                            Вспоминаю одну цитату из интернета… Что-то про производительность и количество разработанных программистами абстракций.
                                                                              0
                                                                              Вспомните — напишите
                                                                                +1
                                                                                «Разработчики успешно довели количество использованных абстракций до нужного количества, и теперь любая сколько угодно тривиальная программа может безбожно тормозить»
                                                                            0
                                                                            Вроде, теперь есть возможность пробросить в ВМ второую видеокарту
                                                                          0
                                                                          И драйвер ФС, позволяющий хранить и откатывать все изменения.
                                                                            –2
                                                                            По последней, технической, части со всякими там 16-ыми битами могу только процитировать по памяти слова товарища Касперского (который Евгений, а не Крис, разумеется), сказанные им лет так 25 назад и не потерявшие с тех пор свою актуальность.
                                                                            Для построения надёжной системы безопасности компьютерную систему нужно анализировать в целом

                                                                            Процессор мешает писать в память? Да и фиг с ним, воспользуемся другим устройством (дисковым контроллером, видеокартой и т.д.), которые умеет писать в память в обход процессора. Даже шаманить особо не придётся, драйвера все есть.
                                                                              0
                                                                              Помню как заразился вирусом на Nokia N95 (Symbian), из за которого потерял приличную сумму денег (троян собрал личные данные и рассылал смс на дорогие номера).
                                                                              Потом встретился с браузерной уязвимостью на MacOS — «полицейский» вирус требующий деньги за разблокировку.
                                                                              За неофициальными APK в рутованных Android'ax не следил — а это потенциальный риск слива информации.

                                                                              Поэтому никогда не был уверенным в безопасности какой либо системы.
                                                                                0
                                                                                Какое небо голубое… Покуда есть на свете дураки, обманом жить нам, стало быть, с руки.
                                                                                (с) Лиса Алиса и Кот Базилио.


                                                                                Это я к чему, от человеческой головы никакая защита не поможет. Иногда фатально. Вот летишь в самолёте, один пилот пописать вышел, а второй кабинку закрыл, потому что с головой беда. И всё. То же и взломы.

                                                                                К слову, есть один медиахолдинг, довольно крупный. У них директор «по айти» скорее хорошо смотрелся бы на месте охранника или завхоза. Не смотря на его утверждения о полной защите всей информационной инфраструктуры секретарша всё равно смогла запустить вложенный экзешник и потом просрать все полимеры. Хорошо что бяку быстро устранили. Это я про вирус. А люди-то остались… А с другой стороны, зачем я это всё говорю: пока такие есть, я обеспечен работой :-)

                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                Самое читаемое