Как стать автором
Обновить

Комментарии 93

НЛО прилетело и опубликовало эту надпись здесь
Почему вы так решили?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вы в этом уверены?
НЛО прилетело и опубликовало эту надпись здесь
JVM, .Net CLR — вполне себе виртуальные машины. В следующий раз подумайте прежде чем говорить откровенную глупость.
НЛО прилетело и опубликовало эту надпись здесь
У Вас нету JAVA машины?
Нету.
Стоит попробовать
НЛО прилетело и опубликовало эту надпись здесь
Вы хотите поговорить об этом? :)
В IE7/8 и Chrome реализованы песочницы. Они будут также в Office2010. Mozilla уже заявила о своем намерении реалзиовать ту же модель, что принята в IE/Chrome. Вообще, как раз и говорится о поголовном движении в этом направлении.
и только самый безопасный браузер FireFox отстает — и даже в планах нет. У них важная проблема UI :)
Mozilla Firefox, ага?
На самом деле полностью согласен с Вашей иронией. Мало того, что по мере увеличения популярности в FF находят все больше уязвимостей (собственно, от ошибок в коде никто не застрахован, но некоторые применяют разные техники типа продуманных тест-планов и статического анализа, а некоторые — нет), так у него еще нет НИКАКИХ средств для ограничения урона при компрометации.

Chrome/IE8 — самые безопасные браузеры на данный момент.

Но насчет «в планах нет» — это не совсем так (как правильно отметили Mozilla имеет такие планы для Firefox). Вот например: benjamin.smedbergs.us/blog/2009-06-16/electrolysis-making-mozilla-faster-and-more-stable-using-multiple-processes/
на мой взгляд это не сработает. FF надо будет решить ту же проблему что и у МС что делать с тучей плагинов которые были разработаны без учета разделения на процессы с пониженными привелегиями? Либо их всех запрещать — тогда сразу пропадет основная фишка FF либо разрешать — тогда не получится грамотно понизить привелегии.

Например в IE8 проблема с ActiveX решена не в сторону безопасности — повышаются привелегии процессов. В Хроме другая история — плагины разрабатываются с учетом правильной архитектуры.

Безусловно интересно как поступит FF, но с учтом проблем со скорость и памятью в последних версиях мой прогноз что ФФ отложит решение проблем security. И это будет началом конца ФФ
Ну, ActiveX — не настолько страшны. У них вполне адекватные средства безопасности (наследуемые от COM).
Ну еще из скриптов, к примеру, доступен только дефолтный IDispatch. То есть в принципе не никакой возможности получить другой диспатч. By design. Поэтому зачастую потенциально опасные вещи выносятся в параллельные интерфейсы.
Все дефолтные activex-ы в винде очень хорошо следят за тем, кто и зачем их использует.
Ну а если процесс скомпрометирован, то зачем ему эти ActiveX-ы, если можно непосредственно через API (а частности WinAPI) работать — вот здесь приходит на помощь многопроцессовая схема.

Проблема плагинов в другом. Прежде всего стоит различать расширения (которые в FF/Chrome на яваскриптах) и плагины (обычные dll-ки, поддерживающие npapi). Тот же флеш традиционно занимает верхние строчки в рейтингах самых уязвимых кусков… кода (уф, еле сдержался). И как бы ты не вычищал СВОЙ код, в твоем процесс все равно будет исполняться чужой и дырявый. Поэтому ограничивать урон вдвойне важно
«Ну, ActiveX — не настолько страшны»

два момента:

— ActiveX который malware получает доступ к Win32 — вопрос только в том что пользователя надо «попросить» его поставить. И это довольно решаемая проблема, поскольку люди привыкли ставить хорошие ActiveX. В этом случае доступ к Win32 будет существенно проще

— Есть уйма сторонних не MS ActiveX в которых есть дырки. И которые будут закрываться месяцами. Тотже доступ к Win32

С точки зрения браузера надо было бы понизить привелегии ActiveX чтобы в этих двух случаях ничего страшного не произошло, но это не получается потому что есть легальные вещи для которых ActiveX нужны высокие привелегии. Backward compatibility во всей красе.

«Ну а если процесс скомпрометирован, то зачем ему эти ActiveX-ы,» МС ооочень хорошо закрывает дырки. И IE8 бежит с низкими привелегиями. Поэтому простой hijack iexplore не сильно сейчас работает.

«И как бы ты не вычищал СВОЙ код, в твоем процесс все равно будет исполняться чужой и дырявый. » абсолютно точно. Только еще добавим что для выполнения чужого кода нужны другие права — обычно выше. Поэтому IE8 чистый HTML rendering отлично защищен. Как в деле появляются плагины — без которых никуда — все становится плохо
Ну в общем мы по моему и не спорим, а говорим об одном и том же.
Плагины — плохо. Пользователи (в большинстве) — идиоты.

На самом деле, MS готовит ответ и на эти (на первый взгляд неразрешимые) проблемы. Посмотрим что получится.
FF надо будет решить ту же проблему что и у МС что делать с тучей плагинов которые были разработаны без учета разделения на процессы с пониженными привелегиями?


похоже, мозиловцы уже нашли решение
собственно

Because we can’t do everything at once, we are currently focusing on performance and stability; using a security sandbox will be implemented after the initial release
Правда, а мне казалось Опера -))))))
Вам казалось неправильно, нет честно.
Вообще странно почему до песочницы (по отношению к данным) не додумались раньше, ведь антивирусы уже давно используют «свои» песочницы
НЛО прилетело и опубликовало эту надпись здесь
ведь антивирусы уже давно используют «свои» песочницы

Приведите список конкретных продуктов и степень этого «давно». ;-)
Я бы сказал, что это всё ещё исключительное явление.
Доктор веб уже с 2004 года использует, например. Большинство эвристических анализаторов используют этот метод, я не буду сейчас искать подтверждения, но больше чем уверен, что у касперского и нода тоже есть песочницы. Есть, конечно, одно но — антивирусы используют песочницу не для того, чтобы приложение в ней работало постоянно, а только для тестирования приложения до его реального запуска.
Я бы лучше называл это «эмуляторами», нежели «песочницами», чтобы не путать с совершенно иным классом продуктов.
Автор комментария выше, думаю, всё же имел ввиду не их и насчёт «давно» несколько погорячился.
Насколько я знаю Касперский, AVG уже довольно давно используют «песочницы».
Теперь знаю, что и Avast 5.0
я уверен, что в 80-х годах на каких-нибудь OS/360 это все уже было)
Думаю какой-нить chroot и того раньше появился.
да уж точно.
я, конечно, не знаю подробностей, но в современных гипервизорах вроде бы не реализованы некоторые вещи из тех гипервизоров, которые были в каких-то OS/360 — OS/390…

да нет ничего нового в этом мире)
на данном этапе это не решаемая проблема.

Пример. В IE есть такое понятие ActiveX, который может заставить процесс iexplore.exe лезть в самые непредсказуемые места. Можно еще проще File upload и Вы выбираете файл из My Documents. Доступ надо разрешать.

С другой стороны exploit в процессе iexplore.exe сможет прочитать все из My Documents и отослать их куда надо — зашифровать и попросить оплатить по смс

Поведение iexplore.exe в этих двух случаях одинаково. В одном надо разрешать в другом надо запрещать.

Кажется давайте спросим пользователя, во- первых вопросов будет слишком много, во-вторых пользователь не может ответить на такие вопросы (он не знает это ActiveX полез из одного таба или exploit из другого)
IE всегда спрашивает разрешать ли активный контент на странице. Во вторых, рендер-процессы IE запускаются в Low Integrity, соответственно они вообще не могут никуда писать (а из большинства мест типа защищенного хранилища еще и читать), кроме парочки специально созданных для этих целей каталогов в профайле пользователя (типа AppData\LocalLow) и при этом не имеют никаких шансов это изменить — это и есть «песочница».

Но все таки аболютно согласен с тем, что рендер-процессу все еще доступны к примеру куки всех сайтов и сеть. Соответственно, важная информация все еще может «утечь». Для того, чтобы от этого защититься можно послушать советы лучших собаководов (в частности Do-It-Yourself: Implementing Privilege Separation).
Я с Вами согласен что в IE8 песочница для простых HTML страниц хорошая. Рендеринг будет работать с низкими привелегиями, Однако,

«IE всегда спрашивает разрешать ли активный контент на страниц»

это концептуальная проблема. Пользователи слишком привыкли это отключать. Поэтому грамотный баннер вверху страницы с обьяснением как это включить — сразу сводит на нет эту защиту. Поскольку этим методом пользуется слишком много легальных сайтов.

«Во вторых, рендер-процессы IE запускаются в Low Integrity, соответственно они вообще не могут никуда писать „

это так. А что делать с ActiveX он ведь тоже работает из под брауера? А возьмем просмотр DOC файлов в бразуере или PDF? там уже другая история совершенно.

Простой рендеринг страниц в IE8 очень безопасен — ничего не будет — низкие привелегии итд. Но любой шаг в сторону это либо запрет либо повышение привелегий. И МС перекладывает это на плечи пользователей — что заведомо ошибочно. Но другого варианта у них нет.
Плагины (в том числе ActiveX) — это плохо для безопасности, да. Но проблемы ActiveX на самом деле сильно преувеличены. Браузеры, которые не поддерживают ActiveX — поддерживают NPAPI. Так какая разница, каким образом third party код попадает в твой процесс?

Кстати, дочерние процессы получают integrity marker родительского. Так что подозреваю, что word и adobe reader тоже запускаются под low integrity.

Ну а против социнженерии нет приема, к сожалению. Либо полностью отключить возможность какой либо настройки средств безопасности и потерять пользователя, либо иметь «продвинутых» пользователей, которые уже знают как отключать, но еще понятия не имеют, чего творят.
«Плагины (в том числе ActiveX) — это плохо для безопасности, да» — абсолютно

тут дуализм ситуации — либо ты их запрещаешь что есть хорошо для безопасности. Но большинство людей работать не смогут. Поэтому надо разрешать — плохо для безопасности.

«Кстати, дочерние процессы получают integrity marker родительского. Так что подозреваю, что word и adobe reader тоже запускаются под low integrity.» это не так. IE8 спрашивает о подьеме привелегий если видит сторонний ActiveX

«Ну а против социнженерии нет приема, к сожалению. » sandboxing/virtualization и есть решение. Делай что хочешь все будет работать только основную систему изменить не сможешь. Концепция уникальной ОС для каждого приложения. Но тут абсолютно другие проблемы возникают.
Мне понравился подход Chrome с первой же минуты пользования. Я ещё тогда был приятно удивлён. Ну скажу, что прогноз весьма приятный, с точки зрения безопасности.
НЛО прилетело и опубликовало эту надпись здесь
Скорее 21 век будет веком виртуализации приложений. Ну во всяком случае 22 точно:)
НЛО прилетело и опубликовало эту надпись здесь
ну почему, дураков, возможно, со временем изолируют от остальных… :)
я как махровый дурак надеюсь, что нас все-таки заимпрувят )
Может не по теме, но по моим наблюдениям мои знакомые очень активно переходят на Win7. Очень.
что любопытно, да.
моим знакомым и приятелям тоже кто-то устанавливает, и что еще интересно, взрослое поколение, которое раньше едва отличало xp от висты частенько задает вопросы относительно «новой хорошей windows»
Ежедневный трекинг. 8% домашних пользователей (пики, приходящиеся на выходные) — уже на Win7. Бизнес чуть консервативнее, но все равно очень активно переходит. Я бы сравнил скорость принятия Win7 скорее с Win95, а не Vista.
То есть хотите сказать, что в винде наконец появится аналог SELinux, App Armor и нового Tomoyo? Ну или может быть там появится более радикальный вариант в духе FreeBSDшного Jail'а?
Вы хотите сказать, что в линуксе наконец появится аналог чудесного Aero?*
Давайте без холиваров, а?
*если у кого-то не отобразился — тут тэг «irony»
Aero чуть более, чем полностью похож на KDE 4, который появился, ЕМНИП, раншье.
Все-равно 80% линуксов выглядят как МакОС :D
Ну разве что с машиной времени (как обычно). KDE4 зарелизили в 2008, а висту — в 2006.
Релиз релизом, а работало оно еще задолго до него. И вроде бы даже с прозрачными свистелками.
Ну так и виста «работала еще задолго». В 2003-м году были знаменитые wobbling windows.
НЛО прилетело и опубликовало эту надпись здесь
Определенных программ, определенных версий программ, программ определенных производителей, программ, имеющих определенный хеш или маску пути, определенных программ определенным пользователям/группам. В любых комбинациях. На одном компьютере или сразу во всем домене.

Это не говоря уже об изначально более продуманной модели безопасности.
Вы таки опять начинаете? App Armor бесполезен, ибо контроллирует только пути (один хардлинк и вся защита к чертям), SELinux — в винде с самых первых дней были fine grained ACL-ы, Security Reference Monitor (Вам знакомо понятие reference monitor?), консистентная объектная модель (без которой, собственно, невозможно существование SRM), Job-ы (позиксовые process group-ы даже рядом не валялись) и пр… Сейчас есть еще restricted token-ы, MIC/UIPI и пр., что позволяет контроллировать права еще гибче и проще. При этом, заметьте, все остается консистентным с изначальным дизайном Катлера.

Что же до линукса. Там есть единственный адекватный механизм обеспечения песочниц, который и использовали в линуксовой версии хрома — seccomp. Ирония в том, что его чуть не выбросили из ядра линукса и оставили только по просьбе самого гугла.
Корманов, вы?
Круто ты меня затроллил, ололо!

А теперь давай по делу
Джобы появились не с первых дней, а в w2k
Вот жеж. Даже приврать не дадут :-)
А если серьезно, то таки да — нужно перенести из первой части предложения во вторую.
в винде есть аналог sudo, а вот насчет остального…
В винде нет аналога sudo. Просто потому, что там нет su (суперюзера). Все пользователи равны (даже SYSTEM) — не равны только права, назначенные по умолчанию.
На всякий случай уточню, runas — не является «аналогом sudo». Концептуально не является
Может имелся в виду UAC?
Ну UAC еще менее похож на sudo, чем runas :-)
UAC скорее на policyKit похож
Ухты, можешь быть они таки вспомнят и допилят Hurd! Вот это было бы здорово.
Без ссылки последняя строчка абсолютно непонятна. Надо было так, как в оригинале:
Твой ход, Adobe.
По ссылке идёт речь о Javascript в документах PDF.
Я подумал, что как раз наоборот. Представьте себе фразу «И ты, Adobe?» Большинство людей не знают ее прототип «И ты, Брут?» Поэтому решил подставить более известную идиому.
А, вы предлагали вставить ссылку, понял. По тексту идет много ссылок, я решил их не вставлять.
У меня тоже прогноз на этот счет: человеческий фактор останется на прежнем уровне.
скорее его значение наоборот растет. И активно используется :)
Если пользователь — дурак, от брандмауэра толку мало. Большинство заразы пролезет.
если предлагать разумные настройки «по-умолчанию», то и (от) дураков худо-бедно можно защитить(ся)
Ну вот история с упомянутым конфикером показывает, что нет. Дураки, считающие себя «продвинтыми пользователями» — самые опасные.

Апдейт на уязвимость пришел на месяц раньше появления червя (скорее всего путем реверсинга апдейта эта уязвимость и была обнаружена автором червя) — обновления были отключены вручную, несмотря на «разумные настройки по-умолчанию».

С момента появления (и занесения в антивирусные базы) до крупной эпидемии прошло еще два месяца (еще одна настройка — security center очень настойчиво просит установить и держать обновленным антивирус).

Начиная с висты (и даже с xpsp2, если не ошибаюсь) — нетбиос не «торчит» в интернет. В висте он вообще отвязан от public интерфейсов, в xp — блокируется файрволом. Это надо было отключить.

Собственно, когда в почту падает письмо со вложением «голая_анна_курникова.exe», и в теле письма объясняется, что для того, чтобы посмотреть нужно отключить антивирус (потому как это заговор) ОЧЕНЬ много пользователей возьмет и отключит (именно поэтому на большинстве сервисов в принципе нельзя пересылать exe-шники во вложениях).
абсолютно согласен.

Текущее развитие вирусописательства давно ушло в сторону социальной инженерии. Просто на данном этапе стандартные атаки анна_курникова.ехе работают еще очень хорошо, поэтому новые виды и не используются массово — но они существуют, и от них защиты нет — ну кроме как выключить компьютер :)
Проблема уже в том — что даже самый опытный пользователь не может принять решение плохо это или хорошо. Пример.

Слышали ли Вы про измененные разговоры в ICQ?

когда шпион не тупо отсылает спам по контакт листу, а «слушает» разговор и при наличии ключевых слов «музыка», «картинки», «кино» вставляет фразу «кстати посмотри этот фильм описание здесь хххх» по ссылке exploit на mp3, pdf, flash и Вы заражены.

Многие из вирусов работают только под учеткой Администратора, соотвественно расчитаны на то что пользователи сидят именно на ней. Следовательно безолаберность юзеров один из основных фактов того что вирусы еще существуют в принципе. И никакие песочницы вам не помогут
В Vista/7 даже под админом (при условии запущенного UAC) довольно сложно сильно нагадить.
Так одаренные пользователи и, даже, некоторые «альтернативно одаренные» «сборщики Windows» наподобие Zver (не берусь судить про него конкретно — не ставлю сборок принципиально), умудряются отключать UAC при установке.
сложно — но можно, просто несколько меняется стратегия нападения. Отключает UAC пользователь и он _привыкает_ нажимать Ok/Allow Ничего не мешает его предупредить что надо еще раз нажать — потому что не поставится софт. И он нажмет.

Все уходит в социальную инженерию. Win 7 очень хорошо защищена но решения по секьюрити всеравно принимает пользователь и это слабое звено. Sanboxing в этом смысле отличное дополнение — оно избавляет пользователя от принятия решений — делай что хочешь
Ну именно поэтому Майкрософт и финансирует проекты вроде Singularity, возможно сейчас они и кажутся детскими игрушками, но пройдет пару (десятков?) лет и, чем черт не шутит? — концепция управляемой ОС прочно обоснуется на наших компьютерах.
да — это правильное направление. И только MS может изменить правила игры. Я был приятно поражен что MS прикладывает титанические усилия чтобы изменить ситуацию с вирусами. И они сейчас делают в этом направлении больше всех

И надеюсь у них получится. Но это очень долгий путь — годы.
Висту не ставил, но на 7ке, сижу под администратором, и он спрашивает, «дашь права администратора чтобы запустить?». Наверное причина в другом, не*уй кликать куда попало.
это не совсем так. Вирусы работают под админом не потому что это им необходимо, а потому что у большинства пользователей такие права есть и многие вещи делать под админом удобнее. Не будет админа как default user level не будет вирусов требующих админских прав. Только перед этим надо решить проблему с дывадцатью триллионами семнадцатью миллионами двадцатью одной программой которые при установке требуют админских прав, очень все любят поставить сервисы, повесить хуки.

простой IE компонент сделает столько что и root based application и не снилось

Еще вам один пример — rootkit based шпионы пошли на убыль. Сложно разработать драйвера которые будут работать под всеми версиями Win. Проще написать packer который будет прятать от анти вирусов
Согласен, но небезизвестное семейство Trojan.hosts рассчитывает именно на админа
С другой стороны, браузер Google Chrome обрабатывает бóльшую часть недоверенных данных как изолированные исполняемые процессы.

Эта строчка дала повод вспомнить пару любопытных статей:
«Проделки Chrome: действительно ли Google реверсировал Windows?»
www.xakep.ru/post/45278/
www.xakep.ru/post/45294/
Точно так же, как и IE8, Chrome создает раздельные процессы для каждой из вкладок, даже более того, для каждого из плагинов. И, также как и IE8, Chrome включает DEP для всех своих процессов. Это и заставило некоторых поднять в удивлении брови.
Это не данные потенциально опасные, а программы потенциально дырявые…
Площадь атаки, контролируемые злоумышленником данные, уязвимостями в программах, эксплойты, Internet Explorer, Google Chrome… Непонимаю, неужели всё действительно так страшно? Тогда почему со мной никогда таких ужасов не происходило? Может у меня компьютер или браузер неправильные?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории