Мы все это знали

Michael Dukelsky написал(а) к Oleg Redut в Sep 17 10:29:32 по местному времени:

Привет, Oleg!

14 Sep 17 14:03, Oleg Redut послал(а) письмо к Michael Dukelsky:

VS>>> Лучшая защита IMНO - это отказ от работы под админом плюс
VS>>> правильно настроенная политика SRP (чтобы ни из каких "Temporary
VS>>> Internet Files", "Загрузки" и тем более со съемных носителей
VS>>> никакой exe-шник запуститься просто не мог).

MD>> Это верно. Хотя, конечно, SRP - очень смешная защита по сравнению
MD>> с SELinux. И антивирус SRP тоже не может полностью заменить.

VS>>> Единственной угрозой в этом случае останутся макровирусы в
VS>>> документах.

MD>> Нет, не единственной. Есть ещё сетевые черви, эксплуатирующие
MD>> уязвимости в сетевых протоколах.

OR> Чтобы эксплуатировать уязвимость сети, надо в эту сеть сначала
OR> попасть. Для этого используется, на мой взгляд, только человеческий
OR> фактор.
OR> Если раньше бесстрашные люди втыкали кабель от провайдера в
OR> сетевую плату компьютера, надеясь на установленный "агнитум файервол",
OR> то тогда находили уязвимости, которые позволяли взломать систему не
OR> доходя до файервола.

И сейчас таких всё ещё хватает.

OR> Теперь же на входе стоят наглухо закрытие железяки, не светясь
OR> наружу никакими открытыми портами (кроме 24554 конечно), не позволяя
OR> использовать никакие протоколы.

Наглухо закрытые? :-) Там стоит firmware, в котором тоже могут быть уязвимости. Так что его тоже надо своевременно обновлять.

OR> Пока я не купил для конторы Avast, 2-3 раза в год у директоров
OR> чистил блокираторы-вымогатели. Сейчас аваст только время от времени
OR> взрёвывает, блокируя скрипты с псевдо-сайтов с софтом.

А SRP-то ты у директоров включил?

Желаю успехов, Oleg!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Alexandr Kruglikov написал(а) к Oleg Redut в Sep 17 14:50:10 по местному времени:

Привет, Oleg!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

14 сен 17 09:15, Oleg Redut писал(а) к Alexandr Kruglikov:

AM>>>> Так что-ж теперь... Обновления не ставить?
OR>>> Про это говорится изначально, в частности мною и не только в
OR>>> этой эхе. Обновления - зло. Лучшее - враг хорошего. Работает -
OR>>> не трогай.
AK>> Правильно! Плоди ботнеты!
OR> Пока ни одно из обновлений не спасло от шифровальщиков. Лучшая
OR> защита от ботнетов - не апгрейдить win95 до win10. :-)

При чём тут шифровальщики и ботнеты? =\

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Oleg Redut написал(а) к Alexandr Kruglikov в Sep 17 22:38:36 по местному времени:

Доброе (current) время суток, Alexandr!

OR>>>> в этой эхе. Обновления - зло. Лучшее - враг хорошего. Работает
OR>>>> - не трогай.
AK>>> Правильно! Плоди ботнеты!

[...]

AK> При чём тут шифровальщики и ботнеты? =\

Вот и я не знаю.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MSVC 1.1.5-b20161221 (пока работает)

Oleg Levkin написал(а) к Michael Dukelsky в Sep 17 00:09:06 по местному времени:

Я рад пообщаться с тобой, Michael!

Однажды, сидя за компутером и покуривая бамбук, увидел я как 14 Сен 2017 Michael Dukelsky и Victor Sudakov травили байки про Мы все это знали:
VS>> Лучшая защита IMНO - это отказ от работы под админом плюс правильно
VS>> настроенная политика SRP (чтобы ни из каких "Temporary Internet
VS>> Files", "Загрузки" и тем более со съемных носителей никакой exe-шник
VS>> запуститься просто не мог).
MD> Это верно. Хотя, конечно, SRP - очень смешная защита по сравнению с
MD> SELinux. И антивирус SRP тоже не может полностью заменить.
Это чем же смешна SRP?

За SIMM прощаюсь, пишите письма
Oleg
ин зе хоум

Team [Квакеров&Думеров - Давить!] [Мультфильмы - RULEZ FOREVER!]

... Нow I can use this files: brain.sys and hands.sys? (c)
--- FidoNet Explorer/W32 1.1.5

Aleksey Matyuk написал(а) к Michael Dukelsky в Sep 17 04:26:26 по местному времени:

../++==""^^~~ Привет, Michael! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

14 Сен 17 09:44, ты писал(а) Victor Sudakov:

VS>> Единственной угрозой в этом случае останутся макровирусы в
VS>> документах.
MD> Нет, не единственной. Есть ещё сетевые черви, эксплуатирующие
MD> уязвимости в сетевых протоколах.

Ага.

А ещё можно пароль к RDP подобрать и вручную запустить вирус-шифровальщик,
отключив все защиты и антивирусы.

Пароль, разумеется, от учётки с правами админа, а не юзера.

Но это в случае если стоит ненадёжный пароль.



Кстати, на такой случай в некоторых антивирусах (напр.Касперский) сделана защита конфигурации паролем.
Хотя, думаю, что и это тоже можно как-то обойти.


WBR, Aleksey Matyuk E-mail: soft-cat@mail.ru
--- GoldED+/W32-MINGW 1.1.5-b20060703

Aleksey Matyuk написал(а) к Oleg Redut в Sep 17 04:25:10 по местному времени:

../++==""^^~~ Привет, Oleg! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

14 Сен 17 14:03, ты писал(а) Michael Dukelsky:

OR> Пока я не купил для конторы Avast, 2-3 раза в год у директоров

Avast лучше других антивирусов?

(предполагаются платные версии тех и тех)




WBR, Aleksey Matyuk E-mail: soft-cat@mail.ru
--- GoldED+/W32-MINGW 1.1.5-b20060703

Oleg Redut написал(а) к Aleksey Matyuk в Sep 17 09:14:32 по местному времени:

Доброе (current) время суток, Aleksey!

OR>> Пока я не купил для конторы Avast, 2-3 раза в год у
OR>> директоров

AM> Avast лучше других антивирусов?

AM> (предполагаются платные версии тех и тех)

Не сравнивал. Но хорош в достаточной мере, чтобы много лет сидеть на его бесплатной версии дома и Pro на работе. А также, как минимум дважды, при установке на комп после касперского с закончившейся лицензией, находил кучку вирусов, пропущенных кав. Но последнее может быть верно, как и в обратную сторону, так и по отношению к другим антивирусам.
При этом постоянно отбиваюсь от вносимых новшеств и модулей, а также от перехода на более дорогую версию InternetSecurety.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MSVC 1.1.5-b20161221 (пока работает)

Artem Butorin написал(а) к Aleksey Matyuk в Sep 17 19:21:44 по местному времени:

Нello, Aleksey Matyuk.
On 13.09.17 1:58 you wrote:

AM> Так что-ж теперь... Обновления не ставить?

Могу ошибаться, но есть ключ в реестре запрещающий апргрейд до 10ки.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Michael Dukelsky написал(а) к Oleg Levkin в Sep 17 17:01:42 по местному времени:

Привет, Oleg!

15 Sep 17 00:09, Oleg Levkin послал(а) письмо к Michael Dukelsky:

VS>>> Лучшая защита IMНO - это отказ от работы под админом плюс
VS>>> правильно настроенная политика SRP (чтобы ни из каких "Temporary
VS>>> Internet Files", "Загрузки" и тем более со съемных носителей
VS>>> никакой exe-шник запуститься просто не мог).
MD>> Это верно. Хотя, конечно, SRP - очень смешная защита по сравнению
MD>> с SELinux. И антивирус SRP тоже не может полностью заменить.
OL> Это чем же смешна SRP?

Я сказал, что SRP смешна по_ _сравнению с SELinux.

SRP (Software Restriction Policies, по-русски "политики ограниченного использования программ") имеют дело только с одним типом ресурсов - файлами. Можно разрешить или запретить выполнение как отдельных файлов, так и всех файлов в каком-то каталоге и всех его подкаталогах. По умолчанию эти политики отключены. Их не только надо включить, но и написать правила, согласно которым эти политики будут работать. Правила не сложные, но обычному пользователю это не по зубам. В домашних редакциях Windows эти политики включить нельзя, только в редакциях "Профессиональная" и старше.

SELinux (Security Enhanced Linux, "Linux с усиленной безопасностью") - это система принудительного контроля доступа. Как и SRP, это набор правил, определяющих политики безопасности. SELinux работает не только с файлами, но и с процессами, портами, пакетами, сокетами, конвейерами (pipes), семафорами и другими объектами ОС. Для каждого ресурса политика может оперировать всеми его правами доступа (то есть речь идёт не только о выполнении). Например, для класса file это append, create, execute, write, relabelfrom, link, unlink, ioctl, getattr, setattr, read, rename, lock, relabelto, mounton, quotaon, swapon, auditaccess, entrypoint, execmod, execute_no_trans, open. Для сокета это append, bind, connect, create, write, relabelfrom, ioctl, name_bind, sendto, recv_msg, sendmsg, getattr, setattr, accept, getopt, read, setopt, shutdown, recvfrom, lock, relabelto, listen.

Все файлы маркируются метками (labels) своих типов. Например файлы в /var/run получают метку varrunt. В политике можно определить, что разрешено делать процессу такого-то типа: писать в файлы такого-то типа, запускать процессы другого, но строго определённого типа и т.д. Политики пишут не для конкретных процессов, а для типов процессов, поэтому одни и те же правила, написанные для сервиса http будут работать и для apache, и для других программ, реализующих такой же сервис. Пользователи также ограничены своими ролями, то есть процессами, к которым им разрешён доступ. Есть ещё много всего, чего я здесь просто не могу перечислить, это займёт очень много места.

В результате если даже в некоторой программе обнаружили уязвимость, её проэксплуатировали, получили root, то всё равно злоумышленнику не удастся вылезти за пределы тех разрешений, которые имеет взломанный процесс. Все остальные процессы не пострадают.

В CentOS (это одна из операционных систем на базе Linux) SELinux присутствует из коробки и включён. Это означает, что в свежеустановленной ОС для большого количества программ правила SELinux уже загружены и работают. Пользователь может даже не знать ничего про SELinux, защита действует. И, разумеется, нет никаких "этому дала, этому дала, а этому не дала". Защищены все, а не те, кто больше заплатил.

Желаю успехов, Oleg!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303

Oleg Levkin написал(а) к Michael Dukelsky в Sep 17 18:24:28 по местному времени:

Я рад пообщаться с тобой, Michael!

Однажды, сидя за компутером и покуривая бамбук, увидел я как 15 Сен 2017 Michael Dukelsky и я травили байки про Мы все это знали:
VS>>>> Лучшая защита IMНO - это отказ от работы под админом плюс
VS>>>> правильно настроенная политика SRP (чтобы ни из каких "Temporary
VS>>>> Internet Files", "Загрузки" и тем более со съемных носителей
VS>>>> никакой exe-шник запуститься просто не мог).
MD>>> Это верно. Хотя, конечно, SRP - очень смешная защита по сравнению
MD>>> с SELinux. И антивирус SRP тоже не может полностью заменить.
OL>> Это чем же смешна SRP?
MD> Я сказал, что SRP смешна по_ _сравнению с SELinux.
По-моему это некорректно: вычленять SRP из GP и сравнивать её (SRP) с SELinux.

MD> написать правила, согласно которым эти политики будут работать. Правила не
MD> сложные, но обычному пользователю это не по зубам. В домашних редакциях
MD> Windows эти политики включить нельзя, только в редакциях
Можно. Но гемморойно. :)
Слишком гемморойно.

MD> SELinux (Security Enhanced Linux, "Linux с усиленной безопасностью") -
MD> это система принудительного контроля доступа. Как и SRP, это набор
MD> правил, определяющих политики безопасности. SELinux работает не только
MD> с файлами, но и с процессами, портами, пакетами, сокетами, конвейерами
MD> (pipes), семафорами и другими объектами ОС. Для каждого ресурса
MD> политика может оперировать всеми его правами доступа (то есть речь
MD> идёт не только о выполнении). Например, для класса file это append,
MD> create, execute, write, relabelfrom, link, unlink, ioctl, getattr,
MD> setattr, read, rename, lock, relabelto, mounton, quotaon, swapon,
MD> auditaccess, entrypoint, execmod, execute_notrans, open. Для сокета
MD> это append, bind, connect, create, write, relabelfrom, ioctl,
MD> namebind, sendto, recv_msg, sendmsg, getattr, setattr, accept,
MD> getopt, read, setopt, shutdown, recvfrom, lock, relabelto, listen.
Планы розовые... Только итоги получились берёзовыми. AFAIK под в оффтопике не очень-то много программ, которые нормально работают с SELinux. Большинство, что я встречал, требуют отключения SELinux. Например IBM DB2 Server.
Если честно, это совсем некорректно сравнивать GP и SELinux. Просто у Windows и Linux отличаются идеологии, поэтому не стоит к Windows подходить с мерками Linux, а в Linux пытаться делать то, что тебе привычно в Windows.

[УНИЧТОЖИЛА ЯДРЁНАЯ БОМБА]

MD> В CentOS (это одна из операционных систем на базе Linux) SELinux
MD> присутствует из коробки и включён.
Может это в 7 версии? Я 3 сервера на "копейке" из версии 6.x поднял в паре организаций. Да еще 4 у меня в виртуалке крутится. Везде SELinux был отключен при установке.


За SIMM прощаюсь, пишите письма
Oleg
ин зе хоум

Team [Квакеров&Думеров - Давить!] [Мультфильмы - RULEZ FOREVER!]

... Число разумных гипотез, объясняющих данное явление, бесконечно
--- FidoNet обарзеватель/W32 1.1.5