Нагуглил статью на эту тему на хабре
Но уж больно большая. Как осилю — откомментирую более подробно
Пока могу сказать, что я уже более 2-х лет работаю с такими настройками. И такие настройки у меня на нескольких роутерах: дома, на работе. Проблем не возникало
Mikrotik товарищ поставить ещё не удосужился. Mikrotik позволяет перехватывать и анализировать трафик очень удобно: в конфиге задаётся адрес компа, где будет анализироваться лог, правило сбора трафика. Далее на компе запускаем Wikeshark, настраиваем его и в режиме реального времени видим трафик. Более подробно об этом тут
Хотя, на самом устройстве можно было бы попробовать посниферить трафик через tcpdump (если он там есть, надо будет глянуть).
Дамп фс с терабайтами фильмов? :) Или каких-то отдельных частей фс? Можете командой заделиться?
Настройки Mikrotik выложу. Наверное, на pastebin, и тогда ссылку здесь дам. наверное, так будет удобнее всего
Давайте рассуждать логически. У всего есть объяснение, чудес не бывает.
С подменой DNS-записей клиентов роутера я однажды сталкивался. То был домашний роутер. В конфиге был прописан DNS провайдера. Вот кэш DNS провайдера и отравили. После того, как я заменил в настройках роутера DNS на 8.8.8.8, проблема исчезла.
Надо понимать, что не все домашние роутеры позволяют грамотно настроить их. Например, я настроил Mikrotik так (в статье по ссылке это тоже всё описано):
1. Весь входящий трафик запрещён (udp, tcp — не важно. Даже icmp запрещаю) как из интернета, так и из локальной сети. За исключением одного-единственного IP, с которого и конфигурирую устройство. Даже если забудете на Mikrotik какую службу выключить — это не страшно: никто, кроме Вашего IP не сможет к ней обратиться.
2. IP-spoofing пресечь очень просто. Изоляция подсетей: каждый LAN-порт — своя подсеть. Мой IP-адрес устройства из других LAN не смогут присвоить (верней, смогут, но тогда работать не будет у них ни интернет, ни обращение к роутеру). А свой комп я включаю напрямую к Mikrotik без каких-либо коммутаторов. Т.е. кроме моего компа на порту роутера никаких устройств более не будет.
3. Нужен доступ из любого места из Интернета на NAS-сервер (был в гостях, друзья рассказали про крутой фильм, хочется поставить его на скачку и к моменту прихода домой уже иметь возможность его посмотреть)? Не вопрос. Используя port knocking посылаю 3 пакета ICMP (echo-request) с разной заданной длинной — и вуаля. Доступ на час для этого IP на нестандартный порт. Благо, на любом компе (какая бы ОС не стояла у друзей) можно вызвать команду ping с необходимыми параметрами.
4. Нужен доступ из любого места из Интернета на сам Mikrotik? Обломись. Подумай хроменько и осознай, что этого не нужно!
5. Ставим адрес DNS-серверов 8.8.8.8
Mikrotik за свои деньги позволяет очень гибко себя настраивать. А стоит он не намного дороже (а иногда и дешевле), чем многие «типа навороченные» домашние роутеры. А ведь далеко не все такие «навороченные» позволяют даже ограничить доступ к устройству из интернета!
С такими настройками безопасно и самому микротику и устройствам за микротиком.
Поступило предложение ограничить ssh доступ на серверы доступа через firewall, разрешив доступ только с ip наших сотрудников. Хорошо. Но тут проблема: админов у нас не мало, у многих динамические ip. Да и что если срочно потребуется “поработать” находясь в поездке и т.д.?
Чем не устроил вариант использования технологии port knocking (другое название «DACL — dynamic access list»)?
На хабре уже было несколько статей об этом (раз и два)
Подобный подход использую уже несколько лет на различных Linux-серверах и на маршрутизаторах Mikrotik (у Cisco тоже такой функционал есть, но я не сильно подружился с их железками пока).
И ещё. В статье не сказано, может у Вас так и реализовано. Хорошей идеей будет перевесить ssh-сервер со стандартного порта. Тогда будет меньше всяких брутов и вообще логи будут меньше
Итого: «вешаем» ssh-сервер на нестандартный порт (например, 22222). Порт доступен по правилам firewall по спискам. Если IP нет в списке, а доступ очень хочется — используем port knocking, после чего этот IP попадает в список разрешённых. Чтоб списки не загаживались постоянно после использования port knocking с разных адресов, по крону восстанавливаем эталонный список firewall. Например, раз в сутки, в 5 утра — когда меньше вероятность, что кто-то будет работать с сервером
Знаю товарища — работал в Германии по рабочей визе. Всё ему там нравилось: и з\п выше, чем в России, и уровень жизни, и потребительская корзина дешевле и сами продукты лучше… Вот только жена не смогла там жить. Сначала пыталась привыкнуть — часто летала в Питер, общаться с друзьями. Но в итоге ему сказала: «ты как хочешь, а я в Питер возвращаюсь.» В итоге ему пришлось вернуться обратно.
От многих удачных эмигрантов (бывших россиян) в разных странах слышу, что по их собственной статистике питерцы не приживаются. Приедут, помучаются и обратно возвращаются. А Вы из какого города будете?
Кстати, сколько стоит потребительская корзина? Т.е. сколько уходит на еду в месяц? Сколько стоят основные продукты?
Проверка осуществляется путем попыток разместить куки
Почему из всех HTTP-полей для тестирований выбрано только поле с Cookie? Судя по разнообразным примерам и другим скриптам проверки на уязвимость, можно также использовать, как минимум поле User-Agent.
Когда начал читать статью, сначала хотел написать: «За изобретение — 5, за экзамен — неуд»
Но, прочитав до конца, увидел более или менее адекватное заключение (хотя, и к нему есть некоторые вопросы). Посему скажу так: в начале статьи стоило бы написать ради чего всё это делается. Чтоб читатели могли оценить труды и взглянуть на статью через призму поставленной задачи. Иначе всё выглядит как нагромождение сложностей, непонятно ради чего.
Допустим, можно было написать что-то вроде: «Рассматриваем ситуацию, когда существующие решения переноса файлов из одной виртуальной машины в другую не подходят по причине… (сама причина).»
Или: «Задался вопросом: а какие ещё существуют варианты переноса файлов из одной виртуальной машины в другую? Решил немного поэкспериментировать и вот что получилось».
В итоге получается (и комментарии к статье это подтверждают), что многие читатели просто не понимают зачем изобретать велосипед? Который, по их мнению, мало того, что очень извратный, да ещё и уступает по своим характеристикам известным реализациям переноса файлов из виртуалки в виртуалку.
В заключение хочу сказать, что настойчивость и изобретательность автора вызывает моё уважение. Осталось только выбрать правильный вектор, куда направить это всё.
P.S. Насчёт вопроса к заключению. Можно более точные статистические данные насчёт:
Процесс передачи файлов чрезвычайно медлителен
Какой объём данных?
Сколько времени?
Сколько раз повторялся опыт (для получения более точных и правдивых значений)?
Какие факторы могут повлиять на скорость и время передачи, как влиять на эти факторы?
Есть ли какие-либо ограничения на этот приём передачи (ограничения, вызванные особенностью работы используемого ПО или используемых протоколов, либо какие-то иные подводные камни)?
Как говорится: «если на клетке со страусом написано „лев“ — не верьте».
Этот сотрудник либо что-то напутал, либо его квалификация как специалиста оставляет желать лучшего. И вот доказательства сего
Бага Heartbleed имеет номер CVE-2014-0160. Т.е. о декабре 2013 говорить, по меньшей мере, странно. Если, конечно, данный сотрудник не сотрудничал с АНБ
По поиску на хабре можно выяснить, что про эту багу техническое сообщество узнало в начале апреля 2014.
Как пользователь Synology DS 212j и тестировщик публичных эксплоитов CVE-2014-0160 могу подтвердить, что до установки обновлений устройство было подвержено уязвимости. Но в реальной жизни существуют ограничения на использования этой уязвимости в промышленных масштабах:
1. В процессе эксплуатации чаще попадается не пароль, а сессия. Верней, пароль мне вообще ни разу не попадался. Подозреваю, что это связано с особенностью грамотной реализации аутентификации в веб-морде Synology. Но это только мои догадки.
2. Время сессии, которую можно по-умолчанию угнать = времени нахождения в системе пользователя + 10-15 мин после. Далее сессия устаревает и становится бесполезной для атакующего. 10-15 мин — это как раз дефолтные настройки в Synology, где-то в настройке через веб инферфейс их можно менять
3. Далеко не каждый раз эксплоит выдаёт дамп желаемой сессии. Это связано как с самим эксплоитом (может, его кто-то и додумался допилить), так и с особенностью самой уязвимости
4. Даже если всё удалось, троянец должен как-то закрепиться в системе. А доступа через веб (без эксплуатации дополнительных уязвимостей самого веба) может быть недостаточно: нужно включить SSH через веб и залогиниться в SSH. Но пароля у нас нет, только сессия. Да, можно создать нового пользователя с нужными правами и известным нам паролем. Но далее SSH должен быть виден из интернета, что не всегда верно, т.к. Synology бывает и за роутером, который форвардит только порты веб-морды
А теперь сравните трудоспособность всего этого с трудоспособностью эксплуатации CVE-2013-6955, которая была закрыта обновлением DSM 4.3-3827 от февраля 2014, на которую есть публичный эксплоит от metasploit (как я сообщал ранее), и которой достаточно доступа по веб-инферфейсу для распространения заразы
После установки DSM 4.3-3827 можно будет восстановить ОС DSM и удалить вредоносные программы, проникшие в результате двух уязвимостей:
уязвимость, создавшая возможность несанкционированного доступа через DSM по протоколу HTTP; исправлено в обновлении 1 DSM 4.3-3810 и выпущено в ноябре 2013 г. (CVE-2013-6955)
уязвимость, создавшая возможность несанкционированного доступа через приложение File Staton; исправлено в обновлении 3 DSM 4.3-3810 и выпущено в декабре 2013 г. (CVE-2013-6987)
Разделившие второе место Никита Максимов и Павел Марков сумели вывести из строя RTU PET-7000 фирмы ICP DAS и подобрать пароль для веб-интерфейса контроллера Allen-Bradley MicroLogix 1400 фирмы Rockwell Automation
Для справки. Павел Марков — 0xA0
работа у ребят заняла около 4-х часов в первый день. Во второй Павел Марков вместе со мной выступал с докладом на тему Анализ работы антивирусных лабораторий
Я наблюдал за работой Никиты Максимова и Павла Маркова. Если мне память не изменяет, то суть их работы в конкурсе заключаласть в том, что по одному из специфичных для конкретного оборудования протоколов можно было подключиться к девайсу, залить новую прошивку и сбрость состояние устройства до заводского. С перепрошивкой возникли какие-то сложности. А сброс до заводского позволил использовать пароль по-умолчанию для более привилегированного доступа к устройству.
Видите на фотографии кран? Вот, они им управляли — крутили в разные стороны. Павел сожалел, что у крана был слабенький моторчик. Был бы помощнее — смог бы закрутить его с такой силой, чтобы натянулись провода (к крану подключенные). Тогда что-нибудь на стенде могли бы физически сломать, уронить. Имея только удалённый доступ. Это было бы очень наглядно
Не уверен, что Павел найдёт время-желание для написание развёрнутой статьи. Но вы всегда можете написать ему в личку вопросы
pansa
В теме, в который Вы начали спор насчёт обновлений DrWeb, мало кто придавал этому значение. Но Ваша настойчивость и умение вести дискуссии не пропали даром, теперь весь Хабр знает чего стоит стоит Ваш антивирус. И даже если это не так — имидж уже сформирован и Вашей компании будет очень непросто вернуть себе статус-кво
Должно быть, Ваш работадатель Вами очень доволен. Да и у Вас есть повод гордиться собой
Хотелось бы узнать каков опыт автора в озвученной им области. А то такое письмо настрогал — а квалификация не ясна. Поймите правильно: я сейчас никого не упрекаю и не критикую. Просто хочется для себя прояснить: автором затронута очень многогранная тема, а озвучена только вершина айсберга. Вот, хотелось бы выявить причинно-следственную связь опыта автора и этого топика
Теперь по сути топика:
1.
конечный пользователь все равно отдаст свои деньги, либо злоумышленникам, либо за антивирус
А бесплатные антивирусы мы принципиально не рассматриваем? Почему? Если ответ в стиле: " раз бесплатный — значит какашка" — жду более аргументированных доказательств.
Рекомендую также погуглить на тему EMET. Вот, например, результаты поиска на хабре на эту тему. Надеюсь, это немного успокоит автора и в его мозгу появится мысль, что всё на этом свете не так плохо.
2.
CreateProcess… Кто мешал их выявить и закрыть — сие тайна, покрытая мраком
Вы правда хотите запретить CreateProcess? Либо тут не хватает конкретики, либо… как будет работать, например, Google Chrome? Как Вы думаете: что он использует при создании новой вкладки? Это самый элементарный пример. А их можно привести кучу.
3.
А известны они в узких кругах трояномейкеров с 2009 года (а то и раньше), между прочим. Кто мешал их выявить и закрыть — сие тайна, покрытая мраком.
Не буду говорить за всю антивирусную индустрию, но вот так это заявлять, не углубившись в суть вопроса — по меньшей мере некрасиво. Вот, например, доклад с конференции phdays 2013Подпольный рынок 101: статистика цен и схемы ценообразования (Максим Гончаров) Есть и другие доклады и статьи, показывающие, что антивирусные лаборатории не спят (некоторые точно) и мониторят что происходит по ту сторону баррикад
4.
Складывается такое впечатление, что антивирусные аналитики только и заняты разбором очередной APT угрозы, с мыслями: «Блин, а чо — так можно было»?
А это и есть эволюция, которая рождается в конкурентной среде (коей является вирусы-антивирусы и системы на которых они работают). Атакующий всегда в выигрыше. Представьте. Вам поручено охранять некий объект. Вот расставили вы автоматчиков, камер понатыкали. А они взяли и подземный ход пробурили. Вот негодяи! Вы сделали ров, наполненный водой. Ну теперь-то точно не похакают, правда? Так нет же: подключились к системе вентиляции, пустили усыпляющий газ и опять Вас похакали. Нежданчик? Вот тут, я уверен, и у Вас появится желание сказать эту самую фразу: «Блин, а чо — так можно было». И этот процесс противостояния можно продолжать до бесконечности.
5.
Очень позабавила инициатива о ведении белых списков запускаемых приложений. То, что рядовые администраторы делали годами руками, облекли в GUI и выдали за новую супер-пупер инновацию (и еще запатентовали, небось)! А где вы были лет десять назад?
Резюме (посыл номер два): хватит играть с пользователем в демократию, ограничить его и все тут.
Точно, долой демократию и чёрные списки. Даёшь диктатуру и белые списки. Не будем никого выпускать из страны. Только по белым спискам: а вдруг желающий уехать — был маньяком, на его грешной душонке куча смертей? Ну, не разыскивают его — это наша полиция плохо работает. Сегодня выпустим, а завтра ориентировка на него придёт — поздно уже будет. Так что нефиг кого-то выпускать. Пусть у нас все невыездные будут. Что говорите? Мир посмотреть? А вот обломитесь с путешествиями, никакой Вам демократии. Смотрите мир свой по телевизору, и не пускайте сопли. Мы тут важным делом заняты — препятствуем побегу преступников. А Вам тут мир не дают посмотреть. Ну, как? Нравится как звучит?
P.S. Если кого-то интересует мой опыт по теме вирусов и антивирусов (и информационной безопасности)
Нехороший сайт сможет запросто выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком умного телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать веб-страницы (включая ваш домашний Linux), и при этом обрабатывающее конфиденциальные данные — это цель, и порой на долгие годы.
Вот по этой причине негоже светить в интернет таким устройствам для всех подряд. На эту тему я написал своеобразный ликбез: Пример безопасной настройки домашней локальной сети Не панацея, но много проблем решает. В том числе и перебор дефолтных паролей
Со списком уязвимых версий везде бардак. Некоторые недоисследователи сообщают, что прям на всех версиях работает, включая WinRAR 5.1
Я залез на эту страничку, скачал и протестировал все находящиеся там версии WinRAR.
Вот что получилось:
На Windows 7 x32 и Windows XP SP3 x32 уязвимы следующие версии WinRAR
4.20
4.11
3.00
2.90
2.80
2.60
Примечательно, что работает на 2.60 и 2.80, тогда как на промежуточными между ними 2.70 и 2.71 не работает.
С 3.11 до 4.01 не работает, но начинает работать на 4.11 и 4.20
Но уж больно большая. Как осилю — откомментирую более подробно
Пока могу сказать, что я уже более 2-х лет работаю с такими настройками. И такие настройки у меня на нескольких роутерах: дома, на работе. Проблем не возникало
Хотя, на самом устройстве можно было бы попробовать посниферить трафик через tcpdump (если он там есть, надо будет глянуть).
Дамп фс с терабайтами фильмов? :) Или каких-то отдельных частей фс? Можете командой заделиться?
Настройки Mikrotik выложу. Наверное, на pastebin, и тогда ссылку здесь дам. наверное, так будет удобнее всего
С подменой DNS-записей клиентов роутера я однажды сталкивался. То был домашний роутер. В конфиге был прописан DNS провайдера. Вот кэш DNS провайдера и отравили. После того, как я заменил в настройках роутера DNS на 8.8.8.8, проблема исчезла.
Надо понимать, что не все домашние роутеры позволяют грамотно настроить их. Например, я настроил Mikrotik так (в статье по ссылке это тоже всё описано):
1. Весь входящий трафик запрещён (udp, tcp — не важно. Даже icmp запрещаю) как из интернета, так и из локальной сети. За исключением одного-единственного IP, с которого и конфигурирую устройство. Даже если забудете на Mikrotik какую службу выключить — это не страшно: никто, кроме Вашего IP не сможет к ней обратиться.
2. IP-spoofing пресечь очень просто. Изоляция подсетей: каждый LAN-порт — своя подсеть. Мой IP-адрес устройства из других LAN не смогут присвоить (верней, смогут, но тогда работать не будет у них ни интернет, ни обращение к роутеру). А свой комп я включаю напрямую к Mikrotik без каких-либо коммутаторов. Т.е. кроме моего компа на порту роутера никаких устройств более не будет.
3. Нужен доступ из любого места из Интернета на NAS-сервер (был в гостях, друзья рассказали про крутой фильм, хочется поставить его на скачку и к моменту прихода домой уже иметь возможность его посмотреть)? Не вопрос. Используя port knocking посылаю 3 пакета ICMP (echo-request) с разной заданной длинной — и вуаля. Доступ на час для этого IP на нестандартный порт. Благо, на любом компе (какая бы ОС не стояла у друзей) можно вызвать команду ping с необходимыми параметрами.
4. Нужен доступ из любого места из Интернета на сам Mikrotik? Обломись. Подумай хроменько и осознай, что этого не нужно!
5. Ставим адрес DNS-серверов 8.8.8.8
Mikrotik за свои деньги позволяет очень гибко себя настраивать. А стоит он не намного дороже (а иногда и дешевле), чем многие «типа навороченные» домашние роутеры. А ведь далеко не все такие «навороченные» позволяют даже ограничить доступ к устройству из интернета!
С такими настройками безопасно и самому микротику и устройствам за микротиком.
Чем не устроил вариант использования технологии port knocking (другое название «DACL — dynamic access list»)?
На хабре уже было несколько статей об этом (раз и два)
Подобный подход использую уже несколько лет на различных Linux-серверах и на маршрутизаторах Mikrotik (у Cisco тоже такой функционал есть, но я не сильно подружился с их железками пока).
И ещё. В статье не сказано, может у Вас так и реализовано. Хорошей идеей будет перевесить ssh-сервер со стандартного порта. Тогда будет меньше всяких брутов и вообще логи будут меньше
Итого: «вешаем» ssh-сервер на нестандартный порт (например, 22222). Порт доступен по правилам firewall по спискам. Если IP нет в списке, а доступ очень хочется — используем port knocking, после чего этот IP попадает в список разрешённых. Чтоб списки не загаживались постоянно после использования port knocking с разных адресов, по крону восстанавливаем эталонный список firewall. Например, раз в сутки, в 5 утра — когда меньше вероятность, что кто-то будет работать с сервером
От многих удачных эмигрантов (бывших россиян) в разных странах слышу, что по их собственной статистике питерцы не приживаются. Приедут, помучаются и обратно возвращаются. А Вы из какого города будете?
Кстати, сколько стоит потребительская корзина? Т.е. сколько уходит на еду в месяц? Сколько стоят основные продукты?
Почему из всех HTTP-полей для тестирований выбрано только поле с Cookie? Судя по разнообразным примерам и другим скриптам проверки на уязвимость, можно также использовать, как минимум поле User-Agent.
Конкурс «Охота за ошибками»
Угрозы, таящиеся в USB-устройствах
Инсайдерские атаки: нападение и защита
Но, прочитав до конца, увидел более или менее адекватное заключение (хотя, и к нему есть некоторые вопросы). Посему скажу так: в начале статьи стоило бы написать ради чего всё это делается. Чтоб читатели могли оценить труды и взглянуть на статью через призму поставленной задачи. Иначе всё выглядит как нагромождение сложностей, непонятно ради чего.
Допустим, можно было написать что-то вроде: «Рассматриваем ситуацию, когда существующие решения переноса файлов из одной виртуальной машины в другую не подходят по причине… (сама причина).»
Или: «Задался вопросом: а какие ещё существуют варианты переноса файлов из одной виртуальной машины в другую? Решил немного поэкспериментировать и вот что получилось».
В итоге получается (и комментарии к статье это подтверждают), что многие читатели просто не понимают зачем изобретать велосипед? Который, по их мнению, мало того, что очень извратный, да ещё и уступает по своим характеристикам известным реализациям переноса файлов из виртуалки в виртуалку.
В заключение хочу сказать, что настойчивость и изобретательность автора вызывает моё уважение. Осталось только выбрать правильный вектор, куда направить это всё.
P.S. Насчёт вопроса к заключению. Можно более точные статистические данные насчёт:
По ссылке получаю сообщение: Доступ к публикации закрыт
Жаль, интересно было бы почитать первоисточник с чего всё началось
Этот сотрудник либо что-то напутал, либо его квалификация как специалиста оставляет желать лучшего. И вот доказательства сего
Бага Heartbleed имеет номер CVE-2014-0160. Т.е. о декабре 2013 говорить, по меньшей мере, странно. Если, конечно, данный сотрудник не сотрудничал с АНБ
По поиску на хабре можно выяснить, что про эту багу техническое сообщество узнало в начале апреля 2014.
Идём на страничку Инструкция по безопасности продуктов Synology. Ищем исправление, которое устраняет уязвимость CVE-2014-0160 (предположительно, датированное после начала апреля). И находим его (от 10 апреля) — DSM 5.0-4458 Обновление 2
Как пользователь Synology DS 212j и тестировщик публичных эксплоитов CVE-2014-0160 могу подтвердить, что до установки обновлений устройство было подвержено уязвимости. Но в реальной жизни существуют ограничения на использования этой уязвимости в промышленных масштабах:
1. В процессе эксплуатации чаще попадается не пароль, а сессия. Верней, пароль мне вообще ни разу не попадался. Подозреваю, что это связано с особенностью грамотной реализации аутентификации в веб-морде Synology. Но это только мои догадки.
2. Время сессии, которую можно по-умолчанию угнать = времени нахождения в системе пользователя + 10-15 мин после. Далее сессия устаревает и становится бесполезной для атакующего. 10-15 мин — это как раз дефолтные настройки в Synology, где-то в настройке через веб инферфейс их можно менять
3. Далеко не каждый раз эксплоит выдаёт дамп желаемой сессии. Это связано как с самим эксплоитом (может, его кто-то и додумался допилить), так и с особенностью самой уязвимости
4. Даже если всё удалось, троянец должен как-то закрепиться в системе. А доступа через веб (без эксплуатации дополнительных уязвимостей самого веба) может быть недостаточно: нужно включить SSH через веб и залогиниться в SSH. Но пароля у нас нет, только сессия. Да, можно создать нового пользователя с нужными правами и известным нам паролем. Но далее SSH должен быть виден из интернета, что не всегда верно, т.к. Synology бывает и за роутером, который форвардит только порты веб-морды
А теперь сравните трудоспособность всего этого с трудоспособностью эксплуатации CVE-2013-6955, которая была закрыта обновлением DSM 4.3-3827 от февраля 2014, на которую есть публичный эксплоит от metasploit (как я сообщал ранее), и которой достаточно доступа по веб-инферфейсу для распространения заразы
Я как в воду глядел. Как раз в декабре 2013 года написал статью Пример безопасной настройки домашней локальной сети, где фигурирует NAS Synology. Вот общая схема, на базе бюджетного роутера Mikrotik:
там даже предусмотрен безопасный удалённый доступ из интернета к NAS Synology на основе технологии port knocking
Теперь идём на страничку Инструкция по безопасности продуктов Synology
Смотрим какие уязвимости закрывались в декабре или рядом с ним.
Видим, что к описанию DSM 4.3-3827
Более того, по запросу в гугле попадаем на эту страничку
В ней есть текст . Скорее всего, её и использовали. Раз уж есть пример эксплоита
Для справки. Павел Марков — 0xA0
работа у ребят заняла около 4-х часов в первый день. Во второй Павел Марков вместе со мной выступал с докладом на тему Анализ работы антивирусных лабораторий
Я наблюдал за работой Никиты Максимова и Павла Маркова. Если мне память не изменяет, то суть их работы в конкурсе заключаласть в том, что по одному из специфичных для конкретного оборудования протоколов можно было подключиться к девайсу, залить новую прошивку и сбрость состояние устройства до заводского. С перепрошивкой возникли какие-то сложности. А сброс до заводского позволил использовать пароль по-умолчанию для более привилегированного доступа к устройству.
Видите на фотографии кран? Вот, они им управляли — крутили в разные стороны. Павел сожалел, что у крана был слабенький моторчик. Был бы помощнее — смог бы закрутить его с такой силой, чтобы натянулись провода (к крану подключенные). Тогда что-нибудь на стенде могли бы физически сломать, уронить. Имея только удалённый доступ. Это было бы очень наглядно
Не уверен, что Павел найдёт время-желание для написание развёрнутой статьи. Но вы всегда можете написать ему в личку вопросы
В теме, в который Вы начали спор насчёт обновлений DrWeb, мало кто придавал этому значение. Но Ваша настойчивость и умение вести дискуссии не пропали даром, теперь весь Хабр знает чего стоит стоит Ваш антивирус. И даже если это не так — имидж уже сформирован и Вашей компании будет очень непросто вернуть себе статус-кво
Должно быть, Ваш работадатель Вами очень доволен. Да и у Вас есть повод гордиться собой
Теперь по сути топика:
1.
А бесплатные антивирусы мы принципиально не рассматриваем? Почему? Если ответ в стиле: " раз бесплатный — значит какашка" — жду более аргументированных доказательств.
Рекомендую также погуглить на тему EMET. Вот, например, результаты поиска на хабре на эту тему. Надеюсь, это немного успокоит автора и в его мозгу появится мысль, что всё на этом свете не так плохо.
2.
Вы правда хотите запретить CreateProcess? Либо тут не хватает конкретики, либо… как будет работать, например, Google Chrome? Как Вы думаете: что он использует при создании новой вкладки? Это самый элементарный пример. А их можно привести кучу.
3.
Не буду говорить за всю антивирусную индустрию, но вот так это заявлять, не углубившись в суть вопроса — по меньшей мере некрасиво. Вот, например, доклад с конференции phdays 2013 Подпольный рынок 101: статистика цен и схемы ценообразования (Максим Гончаров) Есть и другие доклады и статьи, показывающие, что антивирусные лаборатории не спят (некоторые точно) и мониторят что происходит по ту сторону баррикад
4.
А это и есть эволюция, которая рождается в конкурентной среде (коей является вирусы-антивирусы и системы на которых они работают). Атакующий всегда в выигрыше. Представьте. Вам поручено охранять некий объект. Вот расставили вы автоматчиков, камер понатыкали. А они взяли и подземный ход пробурили. Вот негодяи! Вы сделали ров, наполненный водой. Ну теперь-то точно не похакают, правда? Так нет же: подключились к системе вентиляции, пустили усыпляющий газ и опять Вас похакали. Нежданчик? Вот тут, я уверен, и у Вас появится желание сказать эту самую фразу: «Блин, а чо — так можно было». И этот процесс противостояния можно продолжать до бесконечности.
5. Точно, долой демократию и чёрные списки. Даёшь диктатуру и белые списки. Не будем никого выпускать из страны. Только по белым спискам: а вдруг желающий уехать — был маньяком, на его грешной душонке куча смертей? Ну, не разыскивают его — это наша полиция плохо работает. Сегодня выпустим, а завтра ориентировка на него придёт — поздно уже будет. Так что нефиг кого-то выпускать. Пусть у нас все невыездные будут. Что говорите? Мир посмотреть? А вот обломитесь с путешествиями, никакой Вам демократии. Смотрите мир свой по телевизору, и не пускайте сопли. Мы тут важным делом заняты — препятствуем побегу преступников. А Вам тут мир не дают посмотреть. Ну, как? Нравится как звучит?
Мой блог на Секлабе
Вот по этой причине негоже светить в интернет таким устройствам для всех подряд. На эту тему я написал своеобразный ликбез: Пример безопасной настройки домашней локальной сети Не панацея, но много проблем решает. В том числе и перебор дефолтных паролей
недоисследователи сообщают, что прям на всех версиях работает, включая WinRAR 5.1Я залез на эту страничку, скачал и протестировал все находящиеся там версии WinRAR.
Вот что получилось:
На Windows 7 x32 и Windows XP SP3 x32 уязвимы следующие версии WinRAR
Примечательно, что работает на 2.60 и 2.80, тогда как на промежуточными между ними 2.70 и 2.71 не работает.
С 3.11 до 4.01 не работает, но начинает работать на 4.11 и 4.20