Безопасность в GNU/Linux

[ra]

Как на сегодняшний день обстоят дела с вирусами, троянами, червями? Что-то изменилось за последние 5 - 7 лет? Нужно ли ставить антивирус? Как обезопасить пк от фишинговых и мошеннических сайтов?

Есть ли смысл в таких сервисах как например http://dns.yandex.ru/ ?

[as_lan]

я за 3 года на венде вирусов не хватал, как можно на лине подхватить?))

[bionix]

эээ, это че такое?

[ra]

as_lan, не знаю) поэтому и спрашиваю какова ситуация.

 

 

и вопрос больше о сайтах с вредоносным кодом

[bionix]

ra, под линукс хоть куда можешь лазит, если все равно страшно, виртуалбокс в помощь ;-)

[Sall]

bionix а фишинговые сайты? Они же никак под операционку не завязаны.

Впрочем опытному пользователю, я думаю, все равно не должно быть страшно.

[BLADEGTS]

Руткиты не дремлють коллеги

[merge_posts_bbcode]Добавлено: 2013-06-26 22:31:57[/merge_posts_bbcode]

 

Курим технологии фишинг в википедии,и оставляем Ос впокое

 

[bionix]

главное ПО всегда с доверенных источников использовать и все будет хорошо)

[The_GOD]

http://habrahabr.ru/post/222541/

[BLADEGTS]

с возрастанием популярности страдает безопасность)

[merge_posts_bbcode]Добавлено: 2014-05-14 10:30:39[/merge_posts_bbcode]

 

bionix, не скажи, на одном из семинаров нам читали о том, что очень продолжительное время, с сайта разработчика, дистрибутивы фрибсд, толи линуксов, были протроянены и это вызвало определенный шум и резонанс в технических кругах, что в определенной степени сказалось на репутации и по сей день...

По поводу использования виртуал боксов и прочей ерунды, вся проблема в том, что как правило большинство юзеров использует именно вэб-серфинг, т.е. где то авторизуется, чтото ищет, обсуждает, обазно выражаясь мусорит то там то тут, отсюда вытекают проблемы с утечками вот этих самых данных-которые как правило представляют основную ценность для злоумышленников. Фактически использование виртуальных машин спасет тебя только от падения главной ОС, и то не гарантированно, т.к. виртуальная ОС использует ресурсы хостовой машины и соответственно определенные сценарии гостевой ОС могут сказаться на хостовой.

Выводы параноидальны но это факт.

 

[RNZ]

с возрастанием популярности страдает безопасность)

Миф. Безопасность и популярность не связанны. Безопасность либо есть либо нет, в результате конкретных действий пользователя и/или злоумышленника (а так же используемых средств автоматизации). Популярность сказывается:

1) на привлекательности(выгоде) для злоумышленников, способных выполнить конкретные действия по устранению безопасности;

2) на количестве установленных ОС, пользователи которых не способны понять/выполнять действия по обеспечению безопасности (олухов работающих под root становится больше, привычки из windows и нежелание использовать надёжные пароли тоже имеют место).

 

не скажи, на одном из семинаров нам читали о том, что очень продолжительное время, с сайта разработчика, дистрибутивы фрибсд, толи линуксов, были протроянены и это вызвало определенный шум и резонанс в технических кругах, что в определенной степени сказалось на репутации и по сей день...

Пруф? Что за резонанс это вызвало - пруф? Как именно сказалось на репутации и сказывается по сей день - пруф?

 

virtualbox, chroot и специализированные дистрибутивы вполне могут защитить от хищения информации, но как обычно мозг должен быть на первом месте.

От фишинга защититься можно используя nameserver'ы например гугл.

От arp-spoofing'a помогают софтины типа tor.

[BLADEGTS]

RNZ, про arp-spoofing

-ТOR-не гарантирует сохранности передаваемых данных, т.к. сама по себе его структура анонимна и следовательно незадокументирована.

-Наверное правильнее бы было использовать шифрованные каналы связи, но для обычного юзера к сожалению-это утопия...

Про фишинг

- Нэйм серверы не дают полной гарантии, в силу того, что базы фишинговых сайтов не идут в ногу с "фишерами", да и к тому же таргетированные привелигированные атаки, как правило, используют нестандартные инструменты,неизвестные "до селе".

-Про мозг очень правильно заметил

Про Пруф

- не смогу предоставить потому что как я описал было на уровне лекции без ссылок....поверил потому что впринципе возможно..

 

По опыту могу сказать, что любая ОС требует конечно же скиллов, а еще дополнительного софта для допила, но есть один ньюанс..

Разработчики ОС регулярно выпускают апдейты, что то там фиксят, что то там патчат,а разработчики стороннего софта-так не делают, во всяком случае не так интенсивно, отсюда периодически возникают определенные сложности и конфликты стороннего софта с обновлениями ОС, и юзер опять начинает страдать на тему...

В конечном итоге от этого так устаешь что создаешь себе лайф сиди от касперского и загружаешься с него))

[RNZ]

-ТOR-не гарантирует сохранности передаваемых данных, т.к. сама по себе его структура анонимна и следовательно незадокументирована.

Вообще-то гарантирует, кроме выходного узла, на котором не шифрованные данные видны и их можно перехватить, ну дык авторизация без шифрования (как и любая другая передача не зашифрованных данных) уже сама по себе сводит на нет безопасность. С другой стороны, сейчас практически на всех значимых ресурсах передача осуществляется по https.

Что есть "структура анонимна и следовательно незадокументирована"? Как одно вытекает из другого?

Исходники tor - открыты https://gitweb.torproject.org/tor.git/tree/HEAD

 

 

Гарантий вообще ничего и никто не даёт, в буквальном смысле.

 

 

"Про Пруф" - в принципе и в реале - разные вещи.

Как именно сказывалось/сказывается на репутации(и чего именно) и что за резонанс я по прежнему не понимаю.

 

Разработчики ОС регулярно выпускают апдейты, что то там фиксят, что то там патчат,а разработчики стороннего софта-так не делают, во всяком случае не так интенсивно, отсюда периодически возникают определенные сложности и конфликты стороннего софта с обновлениями ОС, и юзер опять начинает страдать на тему...

В этом и прелесть linux-дистрибутивов - в плане подхода к обеспечению обновлений всё одинаково, и софт и ОС.

[as_lan]

RNZ,

Может речь идет об этом?

http://www.openssh.com/txt/trojan.adv

 

дела давно минувших дней конечно. Но вдруг об этом рассказывали.

[BLADEGTS]

RNZ, и снова по порядку:

- Открытость исходников не делает продукт секьюрным- это раз

- данные передаваемые по любым сетям можно перехватить, вопрос анализа (дешифрования) этих данных-дело техники, тем более в такой недоверенной среде как ТОР-это два

- Как можно документировать то, что ты не знаешь-абсолютный перевод-это три

- не нам с тобой спорить как данные ходят по распределенным сетям ТОР, соответственно любой комп поднятый как ретранслятор способен пропускать часть данных

- я думаю ты погорячился по поводу отточенности и слаженности выпуска апдейтов ядра и ПО)), не буду упоминать комментарии самого Линуса Товардса на эту тему..

Аслан подсказал вроде как)

[RNZ]

BLADEGTS,

Вообще-то открытость исходников именно, что серьёзно повышает безопасность, причина - возможность аудита кода и результата компиляции в любой момент времени, возможность сравнения результатов их отладки и верификации исходников. Cкажу больше, такие стандарты, как DO-178, DO-254 - просто обязывают предоставлять исходники ПО, аппаратуры (соответственно) для проведения аудита безопасности, проверки соответствия исходников требованиям code-style'а и соответствие применения структур кода не запрещённых к использованию с заявленными компиляторами.

 

 

Ещё раз - в Tor можно перехватить данные лишь на выходном узле. Иначе надо быть владельцем всей цепочки, которая выбирается (по умолчанию) рандомно и да - надо как-то дешифровать - данные при пересылке между узлами цепочки шифруются, кроме выходного узла. Да, дешифрование может быть осуществлено, но этому препятствует Diffie-Hellman в паре с аутентификацией, кроме того при желании можно усилить безопасность путём реализации обмена парой ключей по разным сессиям tor, главное что-бы во всех случаях не использовался один и тот же выходной сервер или ими не владело одно лицо.

 

 

>>>ТOR-не гарантирует сохранности передаваемых данных, т.к. сама по себе его структура анонимна и следовательно незадокументирована.

>>Что есть "структура анонимна и следовательно незадокументирована"? Как одно вытекает из другого?

Второй вопрос относится ко всему утверждению - как из "анонимности" вытекает "не сохранность передаваемых данных"? Это я неверно разместил его. Ниже дал пояснения о гарантиях.

Однако замечу, что и в анонимной структуре можно документировать, например для tor можно документировать объём переданных данных и время передачи, затем можно это дело коррелировать, находить зависимости.

 

 

Я ни слова не сказал о отточенности и слаженности выпуска апдейтов чего либо. Я сказал о одинаковости в подходе к обеспечению обновлениями. В этом плане конечному пользователю вообще до фонаря, что именно он обновляет - ОС и/или софт.

 

 

Приведённый as_lan пример наоборот демонстрирует, насколько выше безопасность в открытых проектах:

" The code was inserted some time between the 30th and 31th of July. We replaced the trojaned files with their originals at 7AM MDT, August 1st."

- кто-то ломанул ftp, внедрил код в исходники, автоматическая сборка отработала - народ увидел нетипичную активность, проверили, выяснили, устранили - на всё это ушло чуть более суток.

С закрытым кодом всё сильно хуже, например m$ более года были известные дыры в своих ОС, однако корпорация отреагировала только, после тотальной эпидемии троянами lovesun и mydoom.

[ahvahsky2008]

И кто будет заниматься бесплатно аудитом? Тысяча строк кода невозможно охватить. Ладно Майкрософт такие злые, но чего стоит недавняя уязвимость в опен ссл ))

[RNZ]

ahvahsky2008, например ты, если/когда скилл поднимешь, а может уже и сейчас. И пример с OpenSSL также ярко демонстрирует профиты открытого кода для безопасности:

Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний примерно неделю назад сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца. Информацию о баге удалось сохранить в секрете до 7 апреля, когда вышла исправленная версия OpenSSL 1.0.1g. Раньше остальных о баге узнала только компания CloudFlare.

 

 

http://www.xakep.ru/post/62324/

[as_lan]

RNZ, Забываем про последнюю уязвимость в openssl) Причем с марта 2012. А проект то открытый. Конечно в открытом проекте быстрее найдут такие вещи, но для этого надо, чтоб кто-то в исходниках все время ковырялся. Не могу ручаться за все компании, где проект закрыт, но там штат получает за это деньги, и это их работа, находить с проекте дыры. А тут только альтруизм движет всем. Я придерживаюсь открытых стандартов, но не могу согласиться, что открытость проекта означает 100% гарантию, что там дыры найдут намного быстрее.

[RNZ]

as_lan, о какой именно уязвимости идёт речь? CVE в студию.

 

 

Да, потенциально в открытом исходнике проще найти уязвимости, в сравнении с закрытым кодом (к тому же нередко обфуцированном и доступном за плату). Этим аргументом обычно и оперируют сторонники закрытого кода, теоретически рассуждая о безопасности. Однако практика доказывает:

реакция на инциденты с закрытым кодом зачастую медленная, нередко фиктивна, а порой и вовсе отсутствует.

 

 

По поводу тестирования.

На мой субъективный взгляд, серьёзное тестирование кода на предмет выявления уязвимостей выполняется в основном крупными организациями, а средние и мелкие организации просто не обладают достаточным ресурсами что-бы вести качественный аудит. Однако, ни у какой организации нет возможности отестить все возможные кейсы, различные ошибки и уязвимости порой проявляются лишь при определённом сочетании условий (окружение, наличие/отсутствие файла(ов), сочетание программ, разбивка накопителя, сочетание аппаратных средств, варианты/сочетания входных/выходных потоков данных и т.п.). Потому никакой штат сотрудников не может в этом конкурировать с сообществами и вдвойне не может конкурировать с сообществами разработчиков открытого кода. И потому не стоит недооценивать альтруизм.

Кроме того, за нахождение уязвимостей в популярных открытых проектах (тем более таких, как уже упомянутый openssl) разные компании, строящие свой бизнес с применением оных, платят и платят очень приличные деньги. Т.е. сегодня уже не 199x года, сегодня бизнес выбирает открытые технологии, а не только "открытые API", и платит за найденные уязвимости, экономя на содержании больших штатов.

 

 

И про "100% гарантию".

Уже сказал раз, повторю - гарантий вообще ничего и никто не даёт, в буквальном смысле.

[as_lan]

as_lan, о какой именно уязвимости идёт речь?

Heartbleed CVE-2014-0160

 

Зачем спрашиваешь, сам же прекрасно знаешь об этой уязвимости)

[RNZ]

as_lan, так ведь не с марта известно, а с 3 апреля 2014:

Who coordinates response to this vulnerability?

 

 

Immediately after our discovery of the bug on 3rd of April 2014, NCSC-FI took up the task of verifying it, analyzing it further and reaching out to the authors of OpenSSL, software, operating system and appliance vendors, which were potentially affected.

 

 

http://heartbleed.com/

А собственно уязвимый код существовал более двух лет, судя по первому релизному tag'у и коммиту в ветки 1.0.1 (и первая бета этой ветки от 2 Jan 2012).

[as_lan]

RNZ, Так я об этом и говорил, что уязвимость была с марта 2012, а нашли ровно через 2 года. Есть уверенность что другие не нашли ее и не использовали ее в своих целях, не афишируя, что знают о ней? Сколько шума было, мол АНБ знали про нее и использовали ее. Edited May 22, 2014 by as_lan

[RNZ]

as_lan, нет никакой уверенности, возможно в том же openssl ещё штук пять уязвимостей есть датируемые 10-летием. Например в grep существовала уязвимость позволявшая выполнить произвольный код вплоть до версии 2.11, в период релиза которой и была обнаружена.

Ну а шуметь многие любят и на волне последних событий такой шум даже полезен, быстрее народ среагирует и больше людей начнёт думать о том, сколько уязвимостей известно всяким АНБ и всяким деятелям в закрытых продукта, о которых они отмалчиваются?

[sek.tor]

с возрастанием популярности страдает безопасность)

ещё раз напомню, что злоумышленникам интересней банковские, военные, промышленные и прочие сервера, чем личный фотоархив пахрутдина мирзоевича