The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: На конференции RSA был представлен ботнет из 400 т..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от opennews (??) on 07-Апр-08, 22:55 
На конференции RSA представители исследовательской компании Damballa (http://www.damballa.com/) рассказали (http://www.darkreading.com/document.asp?doc_id=150292) о новом гигантском ботнете Kraken (http://en.wikipedia.org/wiki/Kraken_botnet), насчитывающем более 400 тысяч зомби-машин, что более чем в два раза превышает размер минувшего лидера, ботнета Storm (http://en.wikipedia.org/wiki/Storm_botnet).

Что интересно, в числе инфицированных оказались компьютеры сетей 50 компаний входящих в список "Fortune 500", причем на 80% машин было установлено антивирусное ПО.

Для противостояния антивирусным пакетам в Kraken используется изощренный метод изменения структуры кода, мешающий работе статических анализаторов и детекторов сигнатур. Метод инфицирования машин пользователей до сих пор до конца не ясен, предполагается, что заражение происходит при открытие жертвой изображения, вместо которого закамуфлирован исполняемый ".exe" файл (вероятно какая-то неизвестная уязвимость в одном из ...

URL: http://www.darkreading.com/document.asp?doc_id=150292
Новость: http://www.opennet.ru/opennews/art.shtml?num=15160

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Аноним (??) on 07-Апр-08, 22:55 
Вы все еще пользуетесь Windows?Тогда мы идем к вам :).Ваши боты :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от roks1 email(??) on 07-Апр-08, 23:21 
>Вы все еще пользуетесь Windows?Тогда мы идем к вам :).Ваши боты :)
>

Новая акция у промытомозглых:

Купи комп или ноут с ВистаВиндой - поучаствуй в новом проекте распределенных вычислений. Получи 3298 писем бесплатно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от чоколядка_бяунти on 08-Апр-08, 00:09 
=)) проэкт распределенных вычислений =))
вот обратится ко мне знакомый с вопросом почему винда тормозит, я ему так и отвечу "ты участвуешь в проэкте распределённых вычислений" =)) Чувствую что он загордится, и будет другим хвастаться, что он учавствует в проэкте распределенных вычислений...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от qwerty (??) on 08-Апр-08, 08:46 
русской орфографии подучился бы сперва, прежде чем острить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от чоколядка_бяунти on 08-Апр-08, 13:57 
>русской орфографии подучился бы сперва, прежде чем острить.

задело? =)) подучусь тому что считаю нужным, а ты иди учавстьвуй в ... дальше сам знаешь =))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Аноним (??) on 14-Апр-08, 11:14 
>русской орфографии подучился бы сперва, прежде чем острить.

Вот почему я снова и снова захожу на opennet. Только здесь люди могут написать подобное :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от roks1 email(ok) on 08-Апр-08, 00:18 
>А чем же нужно пользоваться в качестве ОС?
>Коли windows не соотвествует минимальным требованиям?

Почему не соответствует? Очень даже соответствует, особенно те 400 000 упомянутых экземпляров. Они просто идеально подходят, остальные требуют небольшого апдейта из сети.

PS Так это если с каждой десятой машины зайти в банковский аккаунт участника сети распределенных вычислений то...
зачем рассылать ботнетами спам? Для отвода глаз, что ли?

Роман
http://www.bestroman.com

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от evgenyt (??) on 08-Апр-08, 01:45 
Ни разу не смешно.... какой бы не была ОС... а ботнеты - преступная среда и ее надо осуждать как минимум. Не глупо ли будет звучать - "о...  у тебя шевроле? - и правильно что угнали...  вот ездил бы на тракторе...." Что за бредовые мысли - злорадствовать на попандосе других? Чем же вы - опенсорцовцы лучше тогда???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от аноним on 08-Апр-08, 02:01 
Сколько бреда...

>"о...  у тебя шевроле?

Это что про венду? Венда же это натуральный запор, проржавевшей до дыр, а пользователям( вендой ты не владеешь) предлагают доукомплектовывать его сторонними детали, чтобы он хоть ездить мог.

>Что за бредовые мысли - злорадствовать на попандосе других?

Злорадствуют над мс, вроде как. Поскольку мс добивается полного уничтожения свободного по, то повод есть.

>Чем же вы - опенсорцовцы лучше тогда?

Ну конечно, ведь только добрая корпорации майкрософт позаботиться чтобы у пользователей открывались документы, которые сохранены в закрытых стандартах мс, а так же что бы только маздай можно было установить на устройства её партнёров с закрытыми спецификациями.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от northbear (??) on 08-Апр-08, 06:50 
Проблема MS'а в двух вещах: Бизнес MS'а построен на кидалове и разводилове рядовых пользователей, а так же в недобросовестном отношении к взятым на себя обязательствам.
Единственно, кто получает обещанные услуги со стороны MS это крупный корпоративный сектор. Все остальные находятся в состоянии перманентного шантажа со стороны MS.

Вышеуказанный ботнет - яркий тому пример. Недобросовестность MS'а создает почву для функционирования серьезного криминала, по сути это пятая колонна в твоем компьютере.
Тут не вольно задумываешься о степени участия в криминальном бизнесе самого MS'a.

Из-за MS как минимум, ты не можешь доверять важные персональные данные компьютеру, который является твоей собственностью. Как максимум ты теряешь контроль над своим имуществом компьютером. Твой компьютер может быть использован для криминальных действий вопреки твоей воле и ты ничего с этим не можешь сделать.

Понятно, что в данном случае это традиционная философская борьба меча и щита. Но проблема в том, что щит в большинстве случаев изначально с изъяном. То есть обычный пользователь в этой борьбе заведомо проигравший.

>Корпорация Microsoft выпускает множество продуктов и осуществляет соответствующую поддержку по ним в этом есть что-то странное ?!

В самом деле? Можете рассказать о примерах реальной поддержке MS'ом своих продуктов в России?
Я о таком вообще не слышал. Начнем с того, что компетенция техсуппорта MS'а в России просто не адекватна, и не способна решать сколь либо серьезные проблемы и MS точно об этом знает. Это уже "притча во языцех"...

antiofftopic:
Кстати, эта тема заставляет задуматься об этой проблеме на Unix-like OS.
Когда работаешь в командной строке контролировать запущенные процессы и аномальное поведение не составляет труда. Все постоянно запущенные процессы на своих серверах я помню наизусть. Все скрипты перетряхивались руками и не раз. Ничего лишнего там быть не может в принципе.

На десктопах с X'ами и всякими Compriz'ами отследить это становится не реально. Какие продукты позволяют контролировать подобные вещи не достаточно опытным пользователям?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Дмитрий Ю. Карпов on 08-Апр-08, 10:15 
> На десктопах с X'ами и всякими Compriz'ами отследить это становится не реально.
> Какие продукты позволяют контролировать подобные вещи не достаточно опытным пользователям?

Скорее не продукт, а концепция архитектуры компьютера:
1) Операционная система зашивается в ПЗУ.
2) Программы хранятся на сервере или запускаются с CD-ROM. Если программа переписывается на HDD, то она именно переписывается, так что можно чётко сверить её целостность по контрольным суммам, которые хранятся отдельно на аппартно защищённом от изменения носителе.

Иными словами, проблема не в Windows, а в архитектуре компьютера, совместимого со всеми глупостями, сделанными за последние 25 лет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от demimurych email on 08-Апр-08, 13:38 
Либо я не понял Вашу мысль либо вы витаете в облаках.

Везде где будет возможность каким либо образом модифицировать систему везде будет возможность это сделать так чтобы она работала как нужно злоумышленнику. И насколько я понимаю, существование системы которая бы не модифицировалась необоснованно.

Есть функция контроля чек сум - найдется способ ее обойти.  За примерами далеко ходить не надо. В Эпоху ДОСа был такой антивирусный пакет.ADInf назывался.  По всем рекомендациям - он запускался с внешнего носителя, и все что делал это составлял контрольные суммы всего что лежало на диске. Причем доступ к данным осуществлялся путем прямого программирования контроллера носителя.  Казалось бы вот идеальная система определения того что что то лучилось.  А ни прошло и пол года как появилось один за одним два вируса. ЗАРАЗА и  Veloceraptor. Которые спокойно существовали на носителе и АДИНф определить их наличие не мог.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Кирилл (??) on 09-Апр-08, 10:24 
Чушь, даже ХР можно заколотить так, что сам фиг вломишься.
Да и методики все известны. Просто они требуют осмысленного подхода, знаний и понимания угроз, да и временени конечно. Уровень рисков у обычного рядового пользователя значительно ниже, чем затраты на их предотвращение. Так что основная проблема эта принципиальная невостребованность безопасности личной информационной среды обычными пользователями (да и корпоративными, ведь не для кого не секрет, что 90% крупных и средних предприятий в раше могут быть уничтожены на информационном уровне обычным школьником, подлкючившимся к инету, но много ли вы знаете таких прецендентов?), а не архитектура компьютеров.
Хотя у продуктов от Микрософт значительно сложнее добиться предсказуемой и только необходимой хорошо контроллируемой функциональности.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от demimurych email on 11-Апр-08, 15:38 
Охохо.
Как вы думаете почему существую и разрабатываются концепции устойчивых к сбоям систем? Замеддте, не систем в которых нет сбоев, а систем устойчевых к ним.
Видимо потому, что ваш тезис - о том что можно залочить так что не пробьешься ошибочен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от kost BebiX email on 08-Апр-08, 02:02 
Не говорите за всех. Да, половина - идиоты, но другая половина - просто шутит по-доброму, а остальные нормальные люди - вообще молчат.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Кирилл (??) on 09-Апр-08, 10:27 
>Ни разу не смешно.... какой бы не была ОС... а ботнеты -
>преступная среда и ее надо осуждать как минимум. Не глупо ли
>будет звучать - "о...  у тебя шевроле? - и правильно
>что угнали...  вот ездил бы на тракторе...." Что за бредовые
>мысли - злорадствовать на попандосе других? Чем же вы - опенсорцовцы
>лучше тогда???

Да вы, батенька, моралист ;) Это не преступление, пользоваться глупостью и жадностью других.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Ne01eX (??) on 08-Апр-08, 06:56 
Что-то у меня дежавю какое-то...

На самом деле в теле новости был ответ о приемуществах открытого ПО:

>>Метод инфицирования машин пользователей до сих пор до конца не ясен,

По отношению к открытому ПО такой фразы быть не может.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от progr on 08-Апр-08, 08:34 
>По отношению к открытому ПО такой фразы быть не может.

О да, злобные писатели вируса забыли приложить к нему исходники и лицензию GPL.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 08-Апр-08, 11:38 
>>По отношению к открытому ПО такой фразы быть не может.
>
>О да, злобные писатели вируса забыли приложить к нему исходники и лицензию
>GPL.

да не в исходниках вируса дело, а в том, что проследить пути заражения через открытый софт много более реально, чем через то, на чем пытаюццо работать эти 400к ползателей.
Проверить то маздай нЕкак...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от progr on 08-Апр-08, 12:20 
На сколько я понял, проблема в выяснении, каки путем вирус попадает на комп. Здесь, помоему, без разницы открытый или закрытый код. Если только не предложение "Запустить линукс под отладчиком". Проблема в определении какими дырками, или методами соц. инжиниринга пользуется вирус для проникновения в систему. Что отслеживается по поведению вируса, или чтением его исходников.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Балин on 08-Апр-08, 07:00 
На самом деле какая разница какая ОС если 80% - ламеры, их компьютеры и заражаются. Я уверен, что открытые ОС займут большую часть вскоре. Ежеденвно с этого сайта получаю новости о том, что правительства, школы, и прочие переходят на свободные ПО. Что произойдёт по вашему вскоре? боты начнут делать под *nix. А какая разница? то что из картинки exe не запустить это конечно так, но за то можно сделать красивую игрульку, которая в rpm будет распространятся, а для этого надо рутовский пароль... дальше объяснять уже не надо... Win ломают потому что их больше всего, как будет меньше, он станет не нужен ботам.  И останутся эти же 20% продвинутых, которые могут собрать из исходников все что им нужно и не о чем беспокоится
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от progr on 08-Апр-08, 08:46 
А то и рутовский пароль не нужен будет, вреда можно нанести и с правами пользователя, если он конешно не совсем бесправен. Чем больше автоматизации направленной на удобство бытового пользователя, тем больше возможностей на побочные действия.
Многие любители никсов не хотят верить в то, что как только их система попадет в целевую группу вирусописателей, то у них будет все как на винде.
Немного страшилки... Появится тогда на никсы антивирусы, с GPL лицензией, но платной поддержке по обновлению вирусных баз :).
ЗЫ. Грядет время платформонезависимых языков, имхо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Аноним (??) on 08-Апр-08, 09:15 
>А то и рутовский пароль не нужен будет, вреда можно нанести и
>с правами пользователя, если он конешно не совсем бесправен. Чем больше
>автоматизации направленной на удобство бытового пользователя, тем больше возможностей на побочные
>действия.
>Многие любители никсов не хотят верить в то, что как только их
>система попадет в целевую группу вирусописателей, то у них будет все
>как на винде.

Видишь ли, чтобы вирус распространялся ему надо быть запущенным, если проследить
все пути распространения вирусов, то получается полный затык, почта, браузер, флешки,
что-то везде noexec...

>Немного страшилки... Появится тогда на никсы антивирусы, с GPL лицензией, но платной
>поддержке по обновлению вирусных баз :).

Сходи на clamav.net

>ЗЫ. Грядет время платформонезависимых языков, имхо.

Оно уже давно настало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от darkk email on 08-Апр-08, 10:53 
>Видишь ли, чтобы вирус распространялся ему надо быть запущенным, если проследить
>все пути распространения вирусов, то получается полный затык, почта, браузер, флешки,
>что-то везде noexec...

$ ./foobar.py
Permission denied (из-за noexec)
$ python foobar.py
и все работает :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 08-Апр-08, 11:43 
>$ ./foobar.py
>Permission denied (из-за noexec)
>$ python foobar.py
>и все работает :)

чето напомнило... "привет, я вирус под никсы, тока мой автор очень ленивый, ц*ко, и не
захотел меня собрать. Пожалуйства, откомпильте меня вот этой командой, запустите под рутом и добавьте в рутовый кронжоб..."
и все будет работать :) прям как тебе мечтаецо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от darkk email on 08-Апр-08, 12:08 
да не, я всего лишь про то, что noexec не панацея.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от progr on 08-Апр-08, 12:09 
>Оно уже давно настало.

Не сказал бы, либо о разном говорим. Я имею ввиду "запуск" программы на любой платформе без перекомпилирования под конкретную среду из исходников (необходимости компиляции из промежуточного кода в бинарный не избежать пока). Чтоб бытовой юзер не задумывался какая у него ОС. Еще, правда, нужен бы платформонезависимый инсталлер.
Лично мне не хотелось бы мучаться с подбором софта под ос, в предполагаемые времена широкого распространения нескольких ОС.

Ну а остальное вам откомментировали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от ezzie (??) on 08-Апр-08, 14:49 
>Не сказал бы, либо о разном говорим. Я имею ввиду "запуск" программы
>на любой платформе без перекомпилирования под конкретную среду из исходников (необходимости

\>Лично мне не хотелось бы мучаться с подбором софта под ос, в
>предполагаемые времена широкого распространения нескольких ОС.

стандарты POSIX тебе в руки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от progr on 08-Апр-08, 15:35 
А теперь внимательно прочитай еще раз, совместимость не в возможности откомпилить одни исходники для разных платформ, а запуска программы/"EXE-шника"! Это пока подвластно яве, ну и немного дотнету, имхо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Konstantin (??) on 09-Апр-08, 14:36 
>А теперь внимательно прочитай еще раз, совместимость не в возможности откомпилить одни
>исходники для разных платформ, а запуска программы/"EXE-шника"! Это пока подвластно яве,
>ну и немного дотнету, имхо.

мне вот интересно. Смотрите - маковские бинарники  одном файле (очень часто, не буду говорить что всегда)  содержат 2 бинарника для разных платформ - ппц и интеловой. Разве нельзя впаять туда ещё парочку для венды и линукса допустим? как это вообще работает? ( яне очень хорошо это понимаю просто сказал что видел :
$ file *
Adium: Mach-O universal binary with 2 architectures
Adium (for architecture ppc):   Mach-O executable ppc
Adium (for architecture i386):  Mach-O executable i386

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от ора on 27-Июн-08, 02:37 

>Сходи на clamav.net

это тот самый антивирус, который при распаковке архивов умеет их содержимое запускать.?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Дмитрий Т email on 08-Апр-08, 09:56 
Вообще-то уже сейчас достаточно платных антивирусов под юниксподобные ОС и тот кто живёт не иллюзиями их уже тестит и ставит... Для рассылки спама ботом или прописывания в автозагрузку совсем не обязательно иметь root права, да и в файрволе настроенном через iptables очень проблематично отслеживать программы выходящие в сеть... Пока эти проблемы мало кого волнуют, но популярность растёт...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Dimez (??) on 08-Апр-08, 12:04 
> Вообще-то уже сейчас достаточно платных антивирусов под юниксподобные ОС и тот кто живёт не иллюзиями их уже тестит и ставит...

БУ-ГА-ГА!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 08-Апр-08, 12:33 
>Вообще-то уже сейчас достаточно платных антивирусов под юниксподобные ОС и тот кто
>живёт не иллюзиями их уже тестит и ставит...

...причем, это страшно больные люди...


>да и в файрволе настроенном через iptables очень проблематично отслеживать программы
>выходящие в сеть...

как-то недавно о том же спорил с одним вантузоидом :)

Во-первых, не так уж и сложно. Во вторых, контролировать лишь доступ программы в сеть - как-то однобоко... простой "rm -rf /" от юзера доставит массу проблем и без сети.
Так что, смысла контролировать лишь какая прога ходит в инет - малоосмысленно :)
Это по-вендозовски. Жаль, что ты столь зомбирован, что не видишь проблемы глобально.

Прогу из инета юзер собзнательно не запустит (типы файлов открытые браузеры и почтовые клиенты различают и отображают весьма неплохо), хоум должен быть noexec.
Как черви смогут попасть на комп и затем выбраться в инет?
Правильно, лишь через возможные переполнения/дыры в самих клиентах сетей (браузеры, потч. клиенты etc), т.е. от имени того же браузера. А какой СМЫСЛ тогда им разрешать выход в сеть если только через них о можно коннектиццо наружу в принципе (по правилам некоего фаервола, учитывающего имя проги)? :))

Учитывать путь к программе - это кривой маздайный подход. Там проги могут быть установлены в любую ж*пу. В никсах же все до боли четко: проги только в {/usr,}/{s,}bin
(некоторые еще ставят в /usr/local/{s,}bin), запуск бинарей из пространства, доступного польщователясм на RW - запрещено. Все: в системе могут быть в принципе запущены лишь проставленные админом проги. Следовательно, выход в сеть тоже может быть осуществлена
только из них. А смысл им тогда как-то по особому доверять, запрещая остальным (стоп. каким таким остальным? их ведь нет :) доступ фаерволом.


>Пока эти проблемы мало кого волнуют, но популярность растёт...

ессьно мало :)

Никсоидов волнуют эти проблемы на порядок рациональнее.
Поэтому они дааавно придумали вещи для более предметной защиты, нежели может в принципе обеспечить какой-то там антивирус.
SELinux, AppArmor (последний, кстати, по умолчанию активен в последних Убунтах) позволяют раздать любым прогам границы дозволенного (в том числе и для правил iptables ;)
Посему, даже программа с ошибкой может и не стать брежью проникновения в систему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Дмитрий Т email on 09-Апр-08, 11:29 
>>Вообще-то уже сейчас достаточно платных антивирусов под юниксподобные ОС и тот кто
>>живёт не иллюзиями их уже тестит и ставит...
>
>...причем, это страшно больные люди...

Рассмешили ) А вы похоже фанатик ClamAV, продолжайте в том же духе, сразу видно что вопросами безопасности вы себя не обременяете.


>>да и в файрволе настроенном через iptables очень проблематично отслеживать программы
>>выходящие в сеть...
>
>как-то недавно о том же спорил с одним вантузоидом :)
>
>Во-первых, не так уж и сложно.

Ну да, всего лишь по номеру процесса... ещё скажите, что пользователи домашних ПК пользуются этой возможностью )


>Во вторых, контролировать лишь доступ программы
>в сеть - как-то однобоко... простой "rm -rf /" от юзера
>доставит массу проблем и без сети.
>Так что, смысла контролировать лишь какая прога ходит в инет - малоосмысленно
>:)
>Это по-вендозовски. Жаль, что ты столь зомбирован, что не видишь проблемы глобально.

Вам напомнить название темы? :) Разговор о ботнете, а не обо всём что вы знаете. Ваши привычки: бездумно ставить диагноз и разговаривать на ты - повеселили )


>Прогу из инета юзер собзнательно не запустит (типы файлов открытые браузеры и
>почтовые клиенты различают и отображают весьма неплохо), хоум должен быть noexec.

Цитирую: "хоум должен быть noexec". Задумайтесь над словом "должен". И добавлю, что вполне нормальная практика когда на домашнем ПК в /home/user/ есть подкаталог bin, занесённый в пути - это нисколько не противоречит FHS. А про: "Прогу из инета юзер собзнательно не запустит" - без коментариев ))))


>Как черви смогут попасть на комп и затем выбраться в инет?
>Правильно, лишь через возможные переполнения/дыры в самих клиентах сетей (браузеры, потч. клиенты
>etc), т.е. от имени того же браузера.

Не буду вам рассказывать как черви смогут попасть на комп и затем выбраться в инет без использования дыр. Если вы этого не знаете, то о чём мы с вами беседуем?


>Учитывать путь к программе - это кривой маздайный подход.

Я это предлагал? Или вы не знаете как идентифицировать программу?


>... в системе могут быть в принципе запущены
>лишь проставленные админом проги. Следовательно, выход в сеть тоже может быть
>осуществлена
>только из них.

Подсказка: кто админ на домашнем ПК? Это не я, и не вы, а далёкий от администрирования человек и его линукс будет зомбирован без каких бы то ни было проблем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 10-Апр-08, 00:02 
>Не буду вам рассказывать как черви смогут попасть на комп и затем
>выбраться в инет без использования дыр. Если вы этого не знаете,
>то о чём мы с вами беседуем?

дык давайте узнаем о чем...

поведайте миру (и мне заодно, раз я не знаю) как же это так, без помощи юзера и без использования дыр в программах черви заползут на комп? (про выползут - уже потом как-нить вспомним)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Дмитрий Т email on 10-Апр-08, 08:52 
>поведайте миру (и мне заодно, раз я не знаю) как же это так, без помощи юзера и без использования дыр в программах черви заползут на комп? (про выползут - уже потом как-нить вспомним)

А кто вам сказал что без помощи юзера? ) или вы до сих пор верите в грамотных пользователей домашних компьютеров? Они же даже вовремя не обновляют дистрибутив... В этой теме уже кто-то написал как была установлена "очень нужная" программа которой мешал outpost, а в линуксе без проблем будут ставить "очень нужные" программы которые никак не запускаются без пароля root ;) хотя для зомбирования права root не обязательны. Если прочтёте хоть одну книгу по безопасности, то не будете задавать таких вопросов...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от _Nick_ email(ok) on 10-Апр-08, 10:55 
ну, против социнженерии не техническими средствами бороться нужно.
Так что, реально, все равно что будет у идиота на компе: соляра, ГнуЛинух, бздя или маздай...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от felix email(??) on 08-Апр-08, 09:14 
>На самом деле какая разница какая ОС если 80% - ламеры, их
>компьютеры и заражаются. Я уверен, что открытые ОС займут большую часть
>вскоре. Ежеденвно с этого сайта получаю новости о том, что правительства,
>школы, и прочие переходят на свободные ПО. Что произойдёт по вашему
>вскоре? боты начнут делать под *nix.

Бесспорно, начнут делать. И, что веселее всего -- пользователи, мигрировавшие с Windows и купившие какой-нибудь суперудобный (на любителя) дистрибутив типа Mandriva или Kubuntu, возможно будут покупать в переходах метро диски сомнительного качества и устанавливать с него бинарные дистрибутивы разных программ и игр. Тут .. ".. перед человеческой глупостью бессильны даже боги (С) (А.Азимов).
Один из выходов -- нормальные, проверенные репозитории производителей дистрибутивов. Хотя протрояненная Win-игра, запущенная под Cedega наделает немало дел на компьютере пользователя.

>А какая разница? то что
>из картинки exe не запустить это конечно так, но за то
>можно сделать красивую игрульку, которая в rpm будет распространятся, а для
>этого надо рутовский пароль... дальше объяснять уже не надо... Win ломают
>потому что их больше всего, как будет меньше, он станет не
>нужен ботам.  И останутся эти же 20% продвинутых, которые могут
>собрать из исходников все что им нужно и не о чем
>беспокоится

Да просто приходит время продажи компьютеров с предустановленным СПО и нормальной техподдержкой от продавца, с собственными проверенными репозиториями, со всевозможным софтом. Как телевизоров. Или DVD-плейеров. Чтобы конечному пользователю совсем не париться ...  Но где ж продавцам "железа" набрать квалифицированные кадры?! :-))))))))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 08-Апр-08, 12:37 
>Хотя протрояненная Win-игра,
>запущенная под Cedega наделает немало дел на компьютере пользователя.

эээ... реестр покоцает?? %)))

Каких еще делов. Вы о чем?? :)
маздай мулятор он же в песочнице. Пути к дискам задаются конфигами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от felix email(??) on 09-Апр-08, 06:18 
>>Хотя протрояненная Win-игра,
>>запущенная под Cedega наделает немало дел на компьютере пользователя.
>
>эээ... реестр покоцает?? %)))
>
>Каких еще делов. Вы о чем?? :)
>маздай мулятор он же в песочнице. Пути к дискам задаются конфигами.

А что, выход из песочницы такое уж бесперспективное дело? :-)) Погуглите, где-то совсем недавно был багрепорт на эту тему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Nick email(??) on 09-Апр-08, 22:51 
>А что, выход из песочницы такое уж бесперспективное дело? :-)) Погуглите, где-то
>совсем недавно был багрепорт на эту тему.

ну выйдет он из песочницы :) и попадет в пустой, выделенный специально для маздай-вайна
хом спец. юзера. Фаерволом к стене приколочен, в остальной ФС'е - полная бесправность.

Тут лишь мысли о суициде могут начать посещать такого "выходца" %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Хелагар on 08-Апр-08, 12:15 
Разница огромная. И состоит в том, что в Винде весьма туго с безопасностью и контролем доступа. А также с реюзабельностью кода, из-за которй куски GUI юзера размазаны чуть ли не HAL-у. Со всеми вытекающими.
Вот когда на Винде по-дефолу  появится нечто вроде apparmor или SELinux (платные аналоги под Винду есть) и когда рядовой юзер сможет работать на машине не вызывая админа по каждому чиху вроде необходимости установить принтер, а сможет нормально работать сам, не будучи в силах повредить системе в целом, что мы уже имеем на Open Source системах  - тогда ломать Вин будут меньше.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Балин on 08-Апр-08, 15:27 
apparmor часть проблем конечно решит, но только часть... несколько лет назад были уверены что фаерволы всех спасут, но если их не используют большинство юзеров, что толку
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Балин on 08-Апр-08, 16:14 
>Разница огромная. И состоит в том, что в Винде весьма туго с
>безопасностью и контролем доступа. А также с реюзабельностью кода, из-за которй
>куски GUI юзера размазаны чуть ли не HAL-у. Со всеми вытекающими.
>
>Вот когда на Винде по-дефолу  появится нечто вроде apparmor или SELinux
>(платные аналоги под Винду есть) и когда рядовой юзер сможет работать
>на машине не вызывая админа по каждому чиху вроде необходимости установить
>принтер, а сможет нормально работать сам, не будучи в силах повредить
>системе в целом, что мы уже имеем на Open Source системах
> - тогда ломать Вин будут меньше.

выскажу свою мысль до конца:

спамеры действуют по закону больших чисел:
в сети 10 млн компьютеров(к примеру)
20% (2млн) не используют специализированного софта для защиты
20% от эитих 2 млн (400 тыс) можно заразить рассылкой простых картинок и т.п. известным всем способом, дальше само распротранися

Естественно, это сразу замечают, выпускают новый софт и все повторяется по кругу,

Как 2 млн снова остаются не зачищенными - это очень просто:
у меня был такой опыт, мне звонит знакомый, говорит винда виснет, приезжаю - червяк пытается лезть в сеть, а outpost  его не пускает. Начинаю расспрашивать что делал последние дни, оказалось к нему принесли на дискете сильно нужную программку, а гадкий outpost на нее ругался, в результате он его выключил...

и с кем теперь бороться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от aceler on 08-Апр-08, 14:39 
Огромное количество машин, имеющих круглосуточный выход в интернет и широченные каналы, крутят на себе веб-червер Apache. Где ботнет для апача?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от Konwin email(ok) on 08-Апр-08, 10:15 
Имхо проблема вирусов куда больше лежит в плоскости информационной дисциплины -  к большей части человечества мысль о ценности информации как ресурса окончательно еще не пришла, соотвественно не пришла и мысль о необходимости соответствующей культуры поведения, необходимости образования. И что использование информации - это еще и определенные затраты на её сохранность. Ведь ту же проблему спама можно если не решить, то по крайней мере сильно придавить - есть например учереждения (как правило банки) которые просто не работают с письмами, не имеющими электронной подписи - такие письма уничтожаются без разговора. Попробуйте их поспамить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от Дмитрий Ю. Карпов on 08-Апр-08, 10:21 
А что мешает провайдерам и админам закрыть для клиентских машин SMTP-порт? Пора бы правительствам принять такой закон.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от bubuntovod email on 08-Апр-08, 10:54 
все на mail.ru !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от simple email on 08-Апр-08, 13:02 
smtp аутентификация Вам в помощь.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от Lindemidux email(??) on 08-Апр-08, 15:53 
>А что мешает провайдерам и админам закрыть для клиентских машин SMTP-порт? Пора
>бы правительствам принять такой закон.

А не закрыть ли кому-нибудь дырку, через которую выходит воздух со звуками, вам нравится, вы и пользуйтесь веб-интерфейсом вместе с секретутками, да ниразу www небезопасней, кто мешает хакеру пользоваться другими портами, ведь не только для спама используются зараженные компьютеры.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от Гость_0 on 08-Апр-08, 17:10 
>вам нравится, вы и пользуйтесь веб-интерфейсом вместе с секретутками, да ниразу
>www небезопасней, кто мешает хакеру пользоваться другими портами, ведь не только
>для спама используются зараженные компьютеры.

при чём здесь www интерфейс ? пользователь _должен_ отправлять почту пользуясь только сервером провайдера, а не брать на себя роль сервера и не конектиться из москвы на сервер в новом уренгое напрямую... как маршрутизировать почту - должен решать сервер провайдера, который тебе подключение даёт к сети.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от PavelR (??) on 08-Апр-08, 18:40 

Ну чтож, подискутируем с Вашим анонимным бредом.


1. С чего бы вдруг провайдер стал заниматься проблемами твоей почты ? Он маршрутизирует IP-пакеты, вот и вся услуга. Если проводить дальнейшую аналогию, то соединяться с сайтами следует тоже только через прокси-сервер провайдера.
2. Как отделить пользователя от корпоративного пользователя. С чего вдруг провайдер будет за меня, как корпоративного пользователя, решать, как отправлять мою почту?
2.1. Как я буду узнавать результат процесса отправки письма в интересующих меня случаях, через службу поддержки провайдера?
2.2. Как я буду принимать почту ? Пользоваться сервером провайдера ? Использовать сервер провайдера в качестве релея ?
2.3. Как настроить антиспам в таком случае ?
2.4. Как биллинговать те потоки спама, которые пройдут через релей провайдера, но могли бы быть не приняты моим сервером ?


Высосанное из одного места "решение"...

PS: Не понятно, почему сервер из Москвы  не должен коннектиться напрямую к серверу в Новом Уренгое, поясните ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от Hety (??) on 08-Апр-08, 19:42 
С какого перепуга я ДОЛЖЕН что-то кому-то? Мне удобнее отправлять через свой сервер, а не через сервер провайдера. Мой мне больше нравится.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от simple email on 08-Апр-08, 22:15 
>>вам нравится, вы и пользуйтесь веб-интерфейсом вместе с секретутками, да ниразу
>>www небезопасней, кто мешает хакеру пользоваться другими портами, ведь не только
>>для спама используются зараженные компьютеры.
>
>при чём здесь www интерфейс ? пользователь _должен_ отправлять почту пользуясь только
>сервером провайдера, а не брать на себя роль сервера и не
>конектиться из москвы на сервер в новом уренгое напрямую... как маршрутизировать
>почту - должен решать сервер провайдера, который тебе подключение даёт к
>сети.

Интересно, где Вы такое прочитали? Или может сами придумали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от felix email(??) on 09-Апр-08, 06:19 
>А что мешает провайдерам и админам закрыть для клиентских машин SMTP-порт? Пора
>бы правительствам принять такой закон.

Как что? Заинтересованность в прибыли. Спам же клиент оплачивает, даже если он не знает, что у него протрояненный комп.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Xavier on 08-Апр-08, 11:05 
Господа, а есть где-то описание технологии выявления принадлежности компа к этому конкретному ботнету?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "На конференции RSA был представлен ботнет из 400 тыс. зомби-..."  
Сообщение от Оммм on 08-Апр-08, 14:25 
наконец-то эти индюки начали использовать свои протоколы и шифровать это, а то уже достала классика... раньше было irc центральным сервером, щас в моде веб... а да, было парочку попыток юзать гнутеловскю пиринг сеть для сбора ботов (но все равно регались боты на центральном гнутеловском сервере, который тоже кста веб)

P.S. насколько я понял, его (ботнет) не обнаружили а пропиарили ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "OpenNews: На конференции RSA был представлен ботнет из 400 т..."  
Сообщение от tux2002 email on 09-Апр-08, 16:01 
Интересно сколько из посететилей этого ресурса хотябы бегло просмотрели исходники связки init-agetty-login не вдаваясь в рассуждения о SELinux. Сейчас пользователь часто и Linux получает бинарный и не имеет нармерения посмотреть из чего это собрано и пересобрать. Так что для Linux subj это вопрос времени. Да и объёмы технологий растут - лучше фишечки и рюшечки - HAlы да UDEVы, чем былая простота nix - больше кода, подсистем - больше помойка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру