Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Упомянутый мной выше "integrity mechanism" IE8 в висте и выше, использует по полной программе, вообще-то
I>>Ну пусть использует. Думаешь сильно от этого безопасности прибавится ?
KV>Если по ту сторону монитора сидит сферический идиот в вакууме, то безопасности не прибавится, хоть ты его со всех сторон защитами обложи
Не надо сферичского, хватит обычного пользователя, которых примерно 95%
Здравствуйте, Mamut, Вы писали:
M>Ну, малварь может взломать и само приложение и перезаписать/обновить свой профиль, расширяя полномочия именно приложения. А потом от лица приложения творить, что хочет. Или не может?
Профиль идет в пакете вместе с приложением, и ставится в папку, куда писать можно только руту — соответственно, если приложение работает без прав рута, то злоумышленник, даже в случае эксплуатации уязвимости, позволяющей выполнение произвольного кода, не сможет ни сменить профиль, ни выполнить какие-либо действия, запрещаемые профилем. В случае, если бы не было AppArmor, злоумышленник обладал бы всеми привилегиями пользователя, который запустил приложение.
Здравствуйте, LuciferSaratov, Вы писали:
LS> M>Ну, малварь может взломать и само приложение и перезаписать/обновить свой профиль, расширяя полномочия именно приложения. А потом от лица приложения творить, что хочет. Или не может?
LS> Профиль идет в пакете вместе с приложением, и ставится в папку, куда писать можно только руту — соответственно, если приложение работает без прав рута, то злоумышленник, даже в случае эксплуатации уязвимости, позволяющей выполнение произвольного кода, не сможет ни сменить профиль, ни выполнить какие-либо действия, запрещаемые профилем. В случае, если бы не было AppArmor, злоумышленник обладал бы всеми привилегиями пользователя, который запустил приложение.
Здравствуйте, Andrei F., Вы писали:
AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению? AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран? AF>Почему они этого не сделали?
Потому, что если они это сделают то пойдут так далеко и надолго, как их еще никто не посылал.
Идиотизм в чистом виде.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Andrei F., Вы писали:
AF>Это должно зависеть не от учетки, а от приложения. Например, приложение, которое запускается не из под Program Files — должно иметь пониженный набор привилегий.
У меня например ВСЁ, что ставилось отдельно от самой ОС запускается не из Program Files.
Идиота, который заимплементит предлагаемый тобой функционал буду убивать медленно и с удовольствием.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>"Проактивной защитой" оно начало называться тогда, когда Касперский узнал о существовании mandatory access control и решил реализовать нечто подобное в своем продукте
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Не берусь утверждать, что этот термин родился в стенах его конторы, но популяризировался и распиарился он именно оттуда.
Вполне возможно. Ну тогда назовём это Host Intrusion Prevention Systems — HIPS
Здравствуйте, Andrei F., Вы писали:
AF>Это должно зависеть не от учетки, а от приложения. Например, приложение, которое запускается не из под Program Files — должно иметь пониженный набор привилегий.
Здравствуйте, Andrei F., Вы писали:
AF>Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.
Гы гы. Стандартный диалог еще умеет Cut/Paste делать. В итоге приложение photoshop не имеет права писать в системную папочку, а вот диалог save имеет такое право, ну а так как этот диалог находится в процессе photoshop, то при нужном старании может и photoshop.
Здравствуйте, Mamut, Вы писали:
M> и необходимо переписывать приложения, чтобы они регистрировали свои действия в системе.
при этом зловредные приложения будут регистрироваться получая все нужные привилегии себе, например хотя бы спросив пользователя разрешает ли он так зарегистрироваться и ждать что по теории вероятности из двух кнопок "Да" и "Нет" чуть меньше половины пользователей будет выбирать "Да".
Ну либо Microsoft должен сделать что-то вроде iPhone-овского iStore и разрешать устанавливать/запускать только приложения, на которые они дали свое благословение. .
Здравствуйте, vladimir.vladimirovich, Вы писали:
VV>при этом зловредные приложения будут регистрироваться получая все нужные привилегии себе, например хотя бы спросив пользователя разрешает ли он так зарегистрироваться и ждать что по теории вероятности из двух кнопок "Да" и "Нет" чуть меньше половины пользователей будет выбирать "Да".
VV>Ну либо Microsoft должен сделать что-то вроде iPhone-овского iStore и разрешать устанавливать/запускать только приложения, на которые они дали свое благословение. .
Придётся в обязательном порядке отрубать руки поьлзователям.
Захотел чтото скачать — разрешить только в папку откуда нельзя ничего запустить и даже открыть нельзя оттуда.
Потом под правами рута зайти, инсталировать оттуда нечто или файло скопировать в нужные папка.
Обновления точно так же — сначала скачал и только под рутом в другой сессии обновляешь.
Ну и АПИ изменить так, что бы никому и в голову не пришло это дело автоматизировать, что бы пользователь обязательно думал про безопасность и контролировал процесс.
Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, anton_t, Вы писали:
_>>Вот только этот код исполняется в процессе фотошопа.
AF>Верно. Но он является частью ОСи — значит, его можно не подвергать проверкам и ограничениям.
Здравствуйте, Ikemefula, Вы писали:
I>Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.
Здравствуй Капитан Очевидность! Может тогда нахер всю безопасность? Это для хоум юзера побоку вся эта безопасность, а вот корпоративному сегменту, вся эта безопасность ой как нужна, для них, собственно, ноувелл и делал аппармор. Кроме того профили софта позволяют уменьшить последствия взлома браузера, например. Но от действий установленной малвари это не спасёт, от малвари защищаются совершенно другими методами. Основная причина появления SELinux и AppArmor'а в том, что довольно сложное приложение запускать нужно с наименьшими необходимыми правами, причём даже права пользователя под которым оно запущено слишком широки, в общем случае, а всё из-за того что не всякому софту можно сделать аудит, мало того этот аудит стоит значительно дороже чем, простое описание того куда приложение может щимиться в сеть, куда сохранять файлы и что ещё может запускать. Этот периметр определяется довольно легко, это может сделать даже не имея доступа к исходникам и авторам программы.
Основная цель AppArmor-а SELinux-а уменьшить издержки на безопасность, как со стороны производителя софта, так и со стороны пользователя. Собственно чем бы от этого стало хуже винде и её пользователям для меня загадка. Ведь необязательно писать эти профайлы для каждой софтины. Ну кто, простите меня, будет пытаться использовать уязвимости слабо распространённой программы? Достаточно таких профилей для системных сервисов, всяких браузеров и, возможно, оффисов. И написать в каких-нибудь гайдлайнах что это кошерный способ сказать что ваше приложение секурно.
ЗЫ CAS же вон для дотнетовских прог зря сделали? Это ведь тоже направление на корпоративный сектор.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, dr.Chaos, Вы писали:
DC>Здравствуйте, Ikemefula, Вы писали:
I>>Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.
DC>Здравствуй Капитан Очевидность! Может тогда нахер всю безопасность?
Почему же нахер. Просто нужно помнить это.
DC>Это для хоум юзера побоку вся эта безопасность, а вот корпоративному сегменту, вся эта безопасность ой как нужна, для них, собственно, ноувелл и делал аппармор.
DC>Кроме того профили софта позволяют уменьшить последствия взлома браузера, например.
Это когда маленькая группа пользователей использует такой браузер.
А когда этой защитой начнут пользоваться массово, это уже совсем другое дело,
защиту можно отключить, обойти, работать непосредственно в контексте браузера, использовать фактор пользователя.
А количество пользователй определяет качество технологии взлома.
Чем больше пользователей использует конкретную защиту, тем лучше будет отработана тхнология взлома и тем сильнее можно причинть ущерб конкретному пользователю.
DC>Но от действий установленной малвари это не спасёт, от малвари защищаются совершенно другими методами. Основная причина появления SELinux и AppArmor'а
Это пока бабка надвое сказала. Аппармор и селинукс спасает правило Неуловимого Джо из за того, что интерес ко взломм в этом сегменте много ниже чем других.
DC> Собственно чем бы от этого стало хуже винде и её пользователям для меня загадка.
Ты сравниваешь сегменты которые отличаются масштабом на порядок минимум. Контингент совершенно разный.
DC>Ведь необязательно писать эти профайлы для каждой софтины. Ну кто, простите меня, будет пытаться использовать уязвимости слабо распространённой программы? Достаточно таких профилей для системных сервисов, всяких браузеров и, возможно, оффисов. И написать в каких-нибудь гайдлайнах что это кошерный способ сказать что ваше приложение секурно.
Масштаб сегмента определяет степень интереса взломщиков к нему. Чем больше сегмент, тем сильнее интерес. Хорошо защищаются только частные случаи.
Интерес на виндовс-платформе настолько высокий, что ломаются даж сервера обновлений.
Ты это почему то не хочешь учитывать.
Один взлом и вся твоя мега защита в попе.
Будешь вести черные списки серверов — будут ломать и такие сервера
Сейчас например для заражения пользователей используют заражение серверов, причем линуксовых.
... В следующей версии (перечислю только некоторые изменения) — русский язык, значительно уменьшено количество запросов к пользователю (за счёт улучшенных пресетов), улучшенный внешний вид и usability окон запросов. Выход обновления ожидается в течении 1-2 месяцев.
Здравствуйте, criosray, Вы писали:
C>Замечательно. А теперь расскажите пожалуйста каким образом ОС узнает о том какой программе надо разрешать писать на диск, а какой — запрещать. Внимательно слушаю.
Интересно, а каким образом программы с функционалом "Application Control" узнают об этом? Наверное из политик, большая часть которых определена производителем и остается только чуток доработать их в каком-нибудь режиме обучения.
Здравствуйте, Mamut, Вы писали:
M>Сам я AppArmorom/SEinux'ом не пользовался, интересно, как они реают эти проблемы
Кстати SELinux это как раз часть ОС.
А насчет решения проблем — ну про тот же SELinux я немного знаю. Там все делится на домены безопасности и если процесс и файл принадлежат разным доменам безопасности, то доступ к файлу будет ограничен (например, только чтение или вообще никак).
Таким образом, какой-нибудь засланный казачок уже не сможет поменять что-нибудь в /etc/passwd или конфигурации какого-нибудь важного сервиса.
Идея, на самом деле, очень простая и, как ни странно, очень действенная. Для SELinux все, что надо это неабор стандартных заготовок под весь более-менее популярный софт + мощный инструмент дизайна политик. Кстати, может это все и есть — я никогда этим вопросом плотно не занимался.
Здравствуйте, Mamut, Вы писали:
M>Или ты уверен, что именно расширение определяет тип файла?
Замечательно. Т.е. ты предлагаешь, чтобы ОС всегда определяла тип файла по сигнатуре?
Хорошо — присылаю я тебе exe'шник с расширением txt — ты думаешь, что это текстовый файл и тыкаешь на него.
Не так-то просто взять и перейти на сигнатурный подход определения имени файла. И непонятно надо ли.
M>Потому что в такм п*деце разбираться никто никогда не будет: M>
GPO тоже на самый интуитивно понятный интерфейс (особенно password policy object из Windows 2008 — кто видел, меня поймут ). А до Win 2000 вообще эти настройки надо было напрямую в реестре менять (либо скриптами из всяких Resource Kit'ов). И что из этого? Это ж проблема не решения, а лишь инструментария... Вон до недавнего времени GPMC надо было ставить отдельно, а некоторые важные задачи до сих пор могут решить только платные продукты...
M>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
Ну тут же тоже можно пытаться отличить операцию интерактивную от неинтерактивной (в споре про Singularity как раз что-то такое было, что некоторые операции можно сделать только в интерактивном режиме, а по-другому вообще никак).
M>Это уже относится к способу организации памяти и доступности этго API в системе. Этонемного дургая область
Это область привелегий. SeDebugPriveledge называется. Но она фиксирована, в результате имеем проблtму, типа этой: http://www.bestsecuritytips.com/news+article.storyid+232.htm — использование API BITS мы никак не можем ограничить ни для какого приложения.
И вообще, Мамут, с чем ты споришь? Проактивная защита это давно уже серьезный рынок — значит, рано или поздно, MS что-то и включит в состав ОС, просто это, как всегда, будет настолько ограниченное по функционалу решение, что чаще всего будет требоваться приобретение отдельного продукта.
). А до Win 2000 вообще эти настройки надо было напрямую в реестре менять (либо скриптами из всяких Resource Kit'ов). И что из этого? Это ж проблема не решения, а лишь инструментария... Вон до недавнего времени GPMC надо было ставить отдельно, а некоторые важные задачи до сих пор могут решить только платные продукты... 