Здравствуйте, Andrei F., Вы писали:

AF>А ты покажи мне нормально работающую реализацию HIPS для винды? Я даже сомневаюсь что ее можно создать кому-то, кроме самого Microsoft.
А я даже сомневаюсь, что ее можно создать Microsoft. Это как раз то, что ты отказываешься понимать.
AF>Вот с этого места — подробнее.
А куда подробнее? Пока что всё обсуждение сводится к диалогу типа такого:

AF: Давайте изобретем защиту с идентификацией расположения программы и всё такое
Оппонент: это не будет работать, потому что тогда отвалятся куча программ, которые сейчас используют то-то и то-то
AF: А для них мы оставим дырку, через которую они смогут лазать
Оппонент: тогда через дырку пролезут и злоумышленники
AF: Ну тогда мы сделаем еще одну заплатку, которая будет закрывать тех, кто пролез через эту дырку
Оппонент: тогда не смогут работать другие программы, которым нужно то-то и то-то
AF: А для них мы сделаем в заплатке лазейку
Оппонент: тогда через неё будут лазить все, кому не лень
AF: Их тоже можно отфильтровать
Оппонент: по-моему, мы ходим по кругу. Скажи сразу, где закончится это наслоение хитрых задниц, винтов, задниц с лабиринтом и так далее?
AF: Э, нет. Это потребует умственных усилий, я этим бесплатно заниматься не стану. Я забесплатно могу только на форумах трендеть.
Оппонент: Ок, тогда давай сразу предположим, что у МС тоже не хватает денег продумать твою идею за тебя.
AF: Этого не может быть, они на свои идеи миллиарды тратят, а на мою нисколько не хотят.
Оппонент: ну так ты же даже количество кругов оценить не можешь.
AF: Ну а ты как оценишь
Оппонент: А я оценю очень просто — вот есть огромный WinAPI. В нем есть масса потенциально уязвимых функций. Нет смысла защищать одну функцию, если есть дыры в остальных
AF: Ха-ха, да там почти весь WinAPI относится ко всякой ерунде типа Bitmap. Картинки тоже прикажешь защищать?
Оппонент: Да, прикажу. Потому что есть реальные уязвимости и в области картинок.
AF: Ну, так надо их закрыть
Оппонент: Тогда отвалятся программы, которые пользуются этим в легальных целях
AF: Ну, это хреновые программы.
Оппонент: А их пользователи считают наоборот. Им нравится.
AF: Ну, пусть тогда их авторы перепишут.
Оппонент: О да. Авторы будут просто щасливы всё бросить и срочно переписать свои приложения. Пользователи тоже, надо полагать, должны быть счастливы заплатить еще раз за весь установленный у них софт. Нет уж, это не сработает.
AF: Ну, тогда надо сделать изменения обратно совместимыми.
Оппонент: Ок, тогда надо включить в стоимость решения, помимо анализа каждой функции в WinAPI, и проектирования защиты обратно совместимым образом там, где она нужна, также тестирование совместимости с реальными приложениями. Надо отсортировать список используемых приложений по убыванию популярности, взять первые, к примеру, 10000, и проработать — потому что даже 10001е приложение всё еще используется большим количеством пользователей.
AF: Я всё равно не понимаю, почему это дорого. Но это вы идиоты, раз не можете мне объяснить так, чтобы я понял.

AF>Нахамить и одновременно обвинить в хамстве одним предложением — это уровень великого гуру демагогии
А то ж.

Здравствуйте, Ikemefula, Вы писали:

I>Предложение AndreiF равносильно предложению поставить во все дома в городе одинаковые замки, с высоким уровнем защиты, дорогие, но одинаковые.

Твоя беда в том, что ты вообще не понимаешь вопрос, который обсуждаешь. Поэтому и аналогия получается неправильная.
Правильная аналогия такая: да, я действительно предлагаю навесить на все дома замки. Только сейчас там замков нет вообще. Вместо этого у входа каждого дома сидит привратник и пропускает всех подряд — кроме тех, кого внесли в список преступников, которых впускать нельзя Понятно, что постоянно появляются новые преступники, и базу данных преступников приходиться регулярно обновлять. Не успел вовремя обновить — опа, из дома уже всё вынесли

Здравствуйте, Andrei F., Вы писали:
AF>А вот это, кстати, тоже интересный вопрос — с какого хрена они выполняются в его адресном пространстве? Наверно, тоже от большого ума разработчиков, которые решили что добавить пару пунктов в контекстное меню или показать кастомный оверлей у файла по другому никак нельзя.
Интересная стратегия — вместо того, чтобы разобраться с уже повисшими вопросами, начать задавать новые. Ох, извини, разработчики Windows Explorer образца 1994 года плохо подготовились к твоей мега-идее, которую ты изобрёл в 2009м. Заранее предупреждаю — вся индустрия хреново подготовилась к твоему появлению. Никакие волхвы не пришли с дарами к твоей колыбели, звезда не взошла и всё такое.

Поэтому всё наоборот — это твои идеи должны как-то применяться к сложившемуся положению. Не хочешь работать с легаси — велком, для новых архитектур то, что тебе надо, уже придумано в значительно более продвинутом виде. Читать про CAS и Singularity.

Теперь вернёмся к смешному вопросу про "с какого хрена". Поясняю: во времена, когда разрабатывалась архитектура windows explorer, типичными объемами RAM были 8-16MB, а тактовые частоты были хуже, чем у твоего телефона. Поэтому вариант "держать каждый плагин в отдельном процессе" принципиально не попадал по производительности. К тому же, уровень угроз в то время был значительно ниже; поэтому потребность держать плагины в отдельном процессе была вовсе не очевидна. Зато была готовая технология интеграции сторонних приложений — COM. Вот на нём и реализовали плагинную архитектуру експлорера. И для своего времени это было очень хорошее решение. Которое позволило получить красивую и логичную функциональность при приемлемой производительности. Так что да — это было от большого ума разработчиков. Как и внесение графики в ядро — в те времена более кошерные архитектуры выглядели просто смешно, так как для банального перетаскивания окна с отрисовкой содержимого в промежуточные моменты требовалась железка за ~20000 уе.

Здравствуйте, Andrei F., Вы писали:

Можно я встряну?

Неправ и топистартер и все, кто пытаются с ним спорить о возможности и необходимости реализации такой защиты. Для меня, например, очевидно, что сию переписку надо понимать так:

Топикстартер:

Что мешает Microsoft сделать защиту неизвестно чего от неизвестно чего? Например вот так и вот так. Почему они этого не сделали?

Ему отвечают навскидку:

Чтобы защитить неизвестно что неизвестно от чего необходимо ломать обратную совместимость, поэтому не катит.

Он хочет конкретики:

Да не придется ломать совместимость, если врезаться в API и там ослеживать обращения неизвестно чего к неизвестно чему.

Ему возражают:

Ну как же, если вот это неизвестно что вызовет диалог сохранения файла, то сможет сделать неизвестно что неизвестно с чем. Если ему закрыть доступ к неизвестно чему с неизвестно чем, то поломается совместимость.

И т.д. и т.п...

Очень увлекательно читать, между прочим, когда отталкиваясь от деталей реализации обсуждают возможность создания системы, которая будет защищать неизвестно какие информационные системы от неизвестно каких информационных угроз. А когда один спорящий рассуждает на уровне абстракций "identity, policy, etc.." а второй на уровне "handle, pid, etc..." читается еще более увлекательно

Может стоит сначала определиться с целью данной системы в терминах "субъекты-угрозы-риски", а уже потом спорить о том, насколько реально и целесообразно ее создавать?

Здравствуйте, Andrei F., Вы писали:

AF>Это должно зависеть не от учетки, а от приложения. Например, приложение, которое запускается не из под Program Files — должно иметь пониженный набор привилегий.
У меня например ВСЁ, что ставилось отдельно от самой ОС запускается не из Program Files.
Идиота, который заимплементит предлагаемый тобой функционал буду убивать медленно и с удовольствием.

Здравствуйте, Andrei F., Вы писали:

AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?
AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран?
AF>Почему они этого не сделали?

Это надо будет перелопачивать весь массив кривых программ, которые писали, не думая про безопасность. Создавать профили безопасности для каждой программы, руководства для программистов писать. Гигантская работа, и вдобавок ненужная сейчас.

Компьютеры еще не настолько нужны в жизни, чтобы серьезно озаботиться о безопасности. Ну да, вирусные эпидемии, confiker сожрал наш квартальный отчет, потому мы его не сдали и т.д. Кому это интересно, кроме айтишников? Вот когда последнее ИП "Камаз Навозов" (гнилые фрукты по сниженным ценам!) будет рассчитываться через клиент-банк, а не наличкой, когда будт создана "кормовая база" для злоумышенников, тогда и начнется забота о безопасности.

Вообще говоря, невозможность создания непробиваемой защиты в операционке — это бред. Зайдите не под админом и попробуйте что-нибудь сделать с системой. Непробиваемость SeLinux доказана математически.

Любая защита может быть построена на одном из двух принципов:
1) Разрешено все, что не запрещено.
2) Запрещено все, что не разрешено.

В первом случае мы имеем бесконечную свободу действий, часть из которых надо перекрывать. Поскольку количество действий бесконечно, естественно, нельзя перекрыть все опасные. Это как раз про работу под админом.

Во втором случае и перекрывать ничего не надо, принцип наименьших привелегий в действии. И если браузеру надо сохранить файл где-то за пределами папки с конфигами, он вызовет SaveDialog, который вернет не имя файла, а handle. Как и было сделано в апплетах. Некоторым, вроде mamut'а, не мешало бы ознакомиться, прежде чем задавать якобы убийственные вопросы.

Итак:
1) Непробиваемая защита возможна.
2) Ответственность за поведение автомобиля на дороге несет водитель.
3) Спички детям не игрушка.

А посему, надо вводить ответсвенность владельцев компьютера за поведение компьютера. Штрафовать за рассылку спама и т.п. Взломали кого-то через прозрачный прокси на твоем компе? Штраф плати. И не разводи зоопарк у себя в системе. Ворд слишком сложно защитить? А мы напишем редактор на яве, правда по функциональности он будет в 10% от ворда, но норот и 5% не знает, и поэтому будет пользоваться.

Подобная инициатива, помимо прочих преимуществ, вызовет рост зарплат в IT-сфере и увеличение числа вакансий. Прежде чем протестовать, подумайте об этом.

Здравствуйте, Pzz, Вы писали:
Pzz>Ребят, я с вас хренею. А вы точно программисты? Если бы вам начальство поставило такую задачку, вы сказали бы, что это невозможно?
Конечно. Вот менеджеры по распилу — сразу бы сказали что это возможно, но очень дорого. А честный инженер должен сразу объяснять, что "нет, сие решительно невозможно".

Здравствуйте, Ikemefula, Вы писали:

I>Самое главное при этом — потратить вагон времени на тестирование что бы не дай бог какй то комбинация параметров не сорвала стек или самого OpenFileDialog или стек того, кто будет выполнять маршаллинг

Короче говоря, ничего сделать нельзя потому, что нельзя, и поэтому лучше и не пытаться. Я кто думает иначе, пусть читает "програмирование виндовс для чайноков" до полного просветления.

Думаю, если бы все следовали такому подходу, мы до сих пор программировали бы наши компутеры путем перетыкания перемычек на контрольной панели

Здравствуйте, Sinclair, Вы писали:

Вот черт, а я надеялся ты правда перестанешь сюда писать. Никому нельзя доверять...

>Потому, что per-application manifest — недостаточно.

Недостаточно для тотальной безопасности — это все-таки лучше, чем вообще ничего.
А от идеи загружать неуправляемые плагины в основной процесс давно пора отказываться. COM еще черт-те когда придумали.

S>Не шоустоппер???? А ничего, что 90% productivity applications использует эти "хитрые кастомизации"?

И откуда цифра 90%? С потолка, вестимо?

S>Как именно должен себя вести код винды, в случае если приложение заказывает диалог с custom template и hook function?

Создать отдельное окно в вызывающем процессе по этому шаблону и к нему прилепить хук. А это окно отобразить рядом или поверх основного диалога открытия/сохранения.
Есть конечно особо тонкие извращенцы, которые субклассируют главное окно диалога и надругиваются над ним по всякому, но здесь я предложить ничего не могу — только давать проге особое разрешение, или рубить руки разработчикам.

Хотя в чем-то ты наверно прав, внедрять систему сразу в режиме "запрещать всё" не стоит. Сначала оставить всё как есть, ограничения безопасности вводить только для тех приложений, к которым производители уже приделали манифест. Ну и конечно будет нужно провести кампанию, чтобы добровольно-принудительно их к этому склонить.
Когда-то ведь пора кончать с беспределом, когда каждому приложению разрешено творить всё что угодно.

Здравствуйте, Sinclair, Вы писали:

S>Ну мне почему-то кажется, что значительная часть того, что нужно защищать, выполняется в юзер моде.

Когда кажется, креститься надо Ты бы сначала выяснил, так это или нет. А то никаких фактов, зато словами вовсю швыряешься.

Здравствуйте, Andrei F., Вы писали:

AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?
AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран?
AF>Почему они этого не сделали?
Потому, что всё намного сложнее, чем тут описано.
Во-первых, запись — ещё не всё. Чтение тоже нужно ограничивать, чтобы злонамеренная программа не спёрла, к примеру, твои пароли — после чего один хрен будет выполнена эскалация привилегий и защита записи не поможет.
Во-вторых, уровень per-process — тоже еще не всё. Вот есть у тебя некое приложение, которому дан уровень привилегий X. Это приложение выполняет некий скрипт, загруженный из источника Y. Внимание, вопрос: какие привилегии нужно выдать этому скрипту? X? Тогда мы имеем дыру в безопасности — все скрипты пользуются общим "профилем приложения в MyDocuments"; в итоге веб-клиент банка и малварный флеш-ролик прекрасно видят секреты друг друга. Y? Тогда расскажи мне, как технически ОС об этом узнает.
На всякий случай напомню, что для ОС, вообще говоря, достаточно мало что известно про внутреннее устройство процесса. Максимум, что ОС сможет определить — это откуда отмаплены фрагменты статически загруженных модулей (.exe и .dll). Всё, что касается динамически сгенерированного кода — неизвестная величина.

Все ссылки на AppArmor я, в некотором смысле, считаю фейком. В том смысле, что по-настоящему его еще не ломали. По-настоящему — это значит взрослого уровня трояны с применением социальной инженерии, технических штуковин, и с прибылью для взломщика. Поэтому пока что он остаётся красивой теорией. А на винду идет постоянная реальная атака, которую надо как-то сдерживать. Плохо реализованные методы защиты фактически понижают общий уровень безопасности.

Здравствуйте, Andrei F., Вы писали:

AF>Убавь немного градус понтов, а то глаз режет.
Значит, глаз такой.
AF>Все опасные функции запрещены. Внутри каждой проверка — разрешено данному приложению вызывать эту функцию или нет. Если не разрешено — получай E_ACCESSDENIED.
AF>Расскажи, как и что здесь можно обойти?
Я уже рассказал. Не один раз. Дупа в том, как устроен алгоритм этой проверки. Ты пока не смог нарисовать блок-схему даже для одной функции. Но считаешь, что у МС заведомо хватит денег нарисовать эти блок-схемы для всего огромного WinAPI.
Ты вот, пока тебя носом не ткнули, не хотел про битмэпы разговаривать. А теперь делаешь вид, что защита SelectObject — мой каприз.

AF>Прекрасно реализуется. Или проблема с превью — это для тебя непреодолимое препятствие?
Хреново реализуется. Ты уже придумал работоспособное решение проблемы с превью? Тогда иди в MSDN, почитай что сейчас работает в плане common dialog customization, и придумай обратно-совместимое решение для всех ручек, за которые можно там подергать — так, чтобы легальные подёргивания работали, а нелегальные — нет. Само понятие "системный диалог", на которое ты опираешься в своих задорных рассуждениях, в винде весьма размыто.

S>>Прекрасно. Как мы уже увидели, per-application manifest совершенно недостаточны. Либо весь функционал WinAPI нужно выносить в отдельные процессы
AF>Бред. Зачем?
Затем, что Open Dialog, работая в твоём процессе, будет точно так же побрит, как и само приложение. Потому что он внутри использует точно такие же вызовы CreateFile, FindFirst/FindNext, как и твоё приложение. Поэтому чтобы он мог "выдать разрешение" на какой-то файл, он должен сначала сам его получить.
В твоей схеме так не работает — манифест выдаётся на всё приложение. Всё, этого достаточно, чтобы ничего не сработало. Дальше я обсуждать не буду — мы бегаем по кругу.

AF>Только те, которые не уложатся в стандартные профили. Теперь я вижу, насколько внимательно ты читал
О байт. Всё, это последний пост. В "стандартные профили", как я уже писал, уложатся не 50% приложений. А значительно меньше. Кроме того, настораживает множественное число у "стандартных профилей". Сколько их будет? Кто будет решать, какой профиль применить? Пользователь? Ну, тогда готовься к тому, что пользователь будет выбирать самый "широкий" профиль — потому, что он не понимает, чем они отличаются. Кроме того, что нужное ему приложение работает тем хуже, чем ниже профиль поставишь.

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, Sinclair, Вы писали:

AF>Какой, к черту, алгоритм?
AF> if (!manifestAllowsDebuggingApi)
AF> {
AF> SetLastError(ERROR_ACCESS_DENIED);
AF> return E_FAIL;
AF> }

До тебя уже один товарищ показал в этом же топике точно такое же решение.

Разницы между твоим решением и его в именах переменных

у тебя manifestAllowsDebuggingApi а у него bSpecialPermission

И дальше этого ничего не ясно.

Вот прикинь, как майлварщик захочет обойти твое решение и что ему понадобится.

на каждый шаг нужно время, деньги, человеческие ресурсы.

на листочке напиши всех участников процесса — хомюзеры, домохозяйки, ит-специалисты, корпоративные всякие, вендоры софта, майлварщики, мега-гиганты вроде MS и тд и тд.

А потом посмтори, кого и как твоё решение нагружает.

Ты предложил вот мега-решение на счет плагинов в отдельном процессе,+ обрубать права на посылку сообщения в другой поток, +обрезать всякие сомнительные возможности вроде рисовать прямо в экран и save-open диалог.

Что получается.

У всех юзеров без разницы возникают проблемы с запуском приложений, которые работают сейчас.

У всех вендоров возникает проблема с переписываним и выпуском манифестов и сертификатов

мега-гиганты во первых вынуждены переписывать и тестировать, а во вторых предлагать чтото пользователям для компенсации обрезаных приложений

все игроки получают геморрой,

контора которая будет бороться с сертификатами, получает прибыль

при этом увеличивается зависимость от ЧФ, правильных настроек и тд и тд , что при сохранении уровня грамотност пользователя вобщем то уже является дырой размером со слона

Т.е. майлварщики будут продолжать заниматься тем же, чем занимаются и сейчас — поиском и использованием дыр, правда уже в других немного направлениях, например инсталяции приложений и тд.

совершенно очевидно, что защиту будут ломать и обходить всеми мыслимыми и немыслимыми путями, поскольку она будет установлена на компьютерах всех
пользователей или большинства таких.

Итого — при __идеальной__ имплементации твоих решений схема получается вроде как рабочая(но только технически, без учета ЧФ), только запустить её ну никак не получится, потому что она бьёт честных игроков рынка и плодит нахлебников вроде тех, что будут контролировать сертификаты.

При этом нельзя оценить, насколько поднимется планка для майлварщика.

Нет списка существующих дыр, нет списка обходных путей, есть только твои уверения, что все будет работать.

Здравствуйте, Andrei F., Вы писали:

AF>Почему они этого не сделали?

Потому что это дополнительные материальные затраты, не несущие дополнительной прибыли.

Здравствуйте, Mamut, Вы писали:

M>Расширение файлов я последний раз видел хз, в прошлом году, наверное

Ппц. То есть никаких расширений нет, если ты их не видишь?

M>1. Возьмем банальное приложение — Adobe Photoshop. Едиинственное ограничение для него — это не писать в системные папки. А так — куда хочу, туда и сохраняю

Сохранять — ради бога. Но удалять doc файлы ему совершенно ни к чему, например. Равно как пытаться лезть в отладочный API и делать много других грязных делишек.

Здравствуйте, Mamut, Вы писали:

Повторяю еще раз, по буквам. Приложение может писать только туда, куда ему разрешили — непосредственно этому приложению или классу однотипных приложений. Как именно разрешать — это отдельный большой вопрос, но он точно решаем. Ключевой момент — разрешение доступа на уровне приложений, а не пользователей. Доступ к опасным возможностям должен даваться отдельными категориями, а не "всё или ничего", как сейчас.
Дальше продолжать не вижу смысла.

Здравствуйте, Mamut, Вы писали:

M> и необходимо переписывать приложения, чтобы они регистрировали свои действия в системе.

при этом зловредные приложения будут регистрироваться получая все нужные привилегии себе, например хотя бы спросив пользователя разрешает ли он так зарегистрироваться и ждать что по теории вероятности из двух кнопок "Да" и "Нет" чуть меньше половины пользователей будет выбирать "Да".

Ну либо Microsoft должен сделать что-то вроде iPhone-овского iStore и разрешать устанавливать/запускать только приложения, на которые они дали свое благословение. .

Здравствуйте, Pzz, Вы писали:
Pzz>Ну давайте я назову. Проверки, имеет ли право данная программа делать ту или иную операцию. Например, открывать такой-то файл на чтение.
Осталось понять, что такое "данная программа". Как отличить код процесса, загруженный из его екзешника, от кода, загруженного из кошерной DLL?
Как с достаточной надёжностью проверить стек? Как гарантировать, что злое приложение не передало в OpenFileDialog callback, который будет расположен ниже по стеку, чем OpenFileDialog, и получит все привилегии еще до того, как пользователь что-то там подтвердил?

Дорогие детишки, простого решения этой проблемы не существует. Ровно по тем же причинам, по которым не удается задавить наркоторговлю и терроризм.

Здравствуйте, ДимДимыч, Вы писали:

ДД>Потому что это дополнительные материальные затраты, не несущие дополнительной прибыли.

Как это не несущие? Надежная защита от троянцев и малвари стоит того, чтобы немного пошевелиться.
Да и затраты невелики.

Здравствуйте, Andrei F., Вы писали:


C>>Правда. Вы чем слушаете? Всего парой постов выше я говорил о Win7 и как там это работает.

AF>Если я напишу небольшую прогу, которая делает take ownership и удаляет все файлы с диска C:\ какие может, отправлю мылом коллеге, а он ее запустит из под админского аккаунта — что произойдет?

Система спросит дать ли права этой программе. Если права будут даны, то те файлы, которые возможно удалить, будут удалены. Так было, есть и будет, и не зависимо от ОС.

C>>Это не ответ на вопрос. Какие правила?

AF>Тогда должен бы понимать. Для каких путей и расширений файлов приложению можно писать в файлы и удалять, для каких — нет.
Расширений существует тысячи, путей — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?

Здравствуйте, anton_t, Вы писали:

_>Вот только этот код исполняется в процессе фотошопа.

Верно. Но он является частью ОСи — значит, его можно не подвергать проверкам и ограничениям.

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, criosray, Вы писали:

C>>Система спросит дать ли права этой программе. Если права будут даны, то те файлы, которые возможно удалить, будут удалены.

AF>Что спросит и какие права?
странный вопрос.
учетка — админ. Вопрос будет: запустить программу? И все. Ответ "да" сигналит о согласиит.

C>>Расширений существует тысячи, путей — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?

AF>Портов тысячи, хостов в интернете миллионы — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?
AF>Нет, фаервол — это однозначно невозможно.
Портов 60 тыщ, используется 10. Разрешений два: пакеты внутрь или наружу.
Правила обычно простые: запрет всего, кроме трех сервисов.
На моем роутере вообще правил штук 7. Все остальное — запрет по дефолту.

А прикинь то же самое для софта на компе. Либо авторам файрвола придется набивать правила для кучи сторонних приложений в правила по дефолту. Либо юзер будет обламываться на каждом шагу.
Помню мое первое знакомство с Outpost. Поставил, запустил. Отвалились виндозные шары. Ладно, знающий чел подсказал какую настройку сменить. А комп другана вообще почти никогда нельзя было даже пропинговать из-за этого монстра.

В общем, дело на любителей. Хочешь заморачиваться — ставь и развлекайся. Втыкать ЭТО в ОСь.... Не надо!

Здравствуйте, Andrei F., Вы писали:

C>>Ну вот когда придумаете КАК решаем, тогда возвращайтесь — мы продолжим обсуждение. Пока это все пустые слова и фантазии.

AF>Вопрос всего лишь в том, как задавать правила, чтобы обеспечить максимум безопасности и минимум проблем совместимости. И здесь точно нет никаких нерешаемых проблем.
AF>А обеспечить выполнение правил — элементарно.

Все еще пустые слова. Вы даже сформулировать внятно не можете что это за права и как их раздавать, и чтоб это не превратилось в UAC #2 но в сто раз более анноящее...

Здравствуйте, criosray, Вы писали:

C>Замечательно. А теперь расскажите пожалуйста каким образом ОС узнает о том какой программе надо разрешать писать на диск, а какой — запрещать. Внимательно слушаю.

Ребят, я с вас хренею. А вы точно программисты? Если бы вам начальство поставило такую задачку, вы сказали бы, что это невозможно?

Здравствуйте, DOOM, Вы писали:

DOO>Деньги из кармана пользователей
То-то и оно.
DOO>Это же рынок — еще пока формирующийся, но достаточно быстро растущий.
Брр. Рынок чего? Средств индивидуальной защиты? Ну так если хочется иметь быстрорастущий рынок — то как бы глупо требовать от МС задавить его в зародыше выпуском своего решения.

DOO>Тут примерно та же идея — то, что другие делают как хак, MS может встроить в систему аккуратно.
Это совсем другой фиче-реквест, чем озвучен топикстартером.

DOO>Почему? Ты потенциальную прибыль оценивал?
Нет, оценивал потенциальный убыток.

S>>Я не против антивирусов, как и не против систем изоляции. Я просто отвечаю на вопрос в его оригинальной постановке — "что мешает Microsoft встроить ограничения в API".
S>>Вот ровно это и мешает — предлагаемые ограничения будут мешать только хорошим. В результате, поделив прибыль на затраты, получим чистый убыток.
DOO>Не ясна логика. Я с трудом берусь оценить прибыль от этого добра и уж точно не могу вот так за 5 минут оценить затраты.
Очевидно, что затраты весьма велики. То есть речь не идет о паре функций на двадцать строк каждая. Очевидно, что потенциальных улучшений — кот наплакал.

Здравствуйте, Andrei F., Вы писали:

I>>Гуглом тебя не учили пользоватьяс вероятно. Сдётся, перегрев уже необратимый.

AF>А ты уверен, что гугл проиндексировал данные пятилетней давности? Не ломайся и просто дай ссылку.

Нет, гугл специально обучили именно пятилетней давности страницы не индексировать.

Ищи сам, мне интереснее с тебя посмеяться.

k> Блин, а почему все (кроме топикстартера, разве что) упорно игнорируют вот это Re: размышления о безопасности

Автор: kochetkov.vladimir
Дата: 18.05.09

?

Я там тоже оценку поставил

Здравствуйте, Sinclair, Вы писали:

DOO>>Ну сколько раз тебе говорили, что против непроходимой глупости не попрешь.
S>Это ты про топикстартера?

Всё-таки ты хамло.

Здравствуйте, Andrei F., Вы писали:
AF>Ты почти ничего не прочитал и еще меньше понял.
Я всё прочитал, и понял даже больше, чем ты написал. У меня есть ответы на те вопросы, на которые ты еще не ответил, и вопросы к тем ответам, и следующий раунд ответов и вопросов тоже.

AF>Моя идея — доступ к любой опасной функции в API нужно по умолчанию запретить. Опасные здесь — это те функции, которые позволяют прочитать или записать сенситивные данные (включая документы пользователя), вмешаться в работу чужого процесса, прописаться в автозагрузку и так далее. Если тебе очень хочется — некоторые функции, которые могут позволить ввести пользователя в заблуждение, тоже можно считать опасными.
Угу. Хорошо. Пока всё понятно. Дело, конечно, не в том, чего хочется мне. А в том, чего хочется тебе. Хочешь запретить опасные функции — будь любезен придумать способы предотвращения обхода этих ограничений. Иначе это всё — только упражнения по распилу бабла (см. Нейронные Сети как Защита Кредитных Карт).

AF>Доступ в файловой системе — только к temp и папке служебных файлов, к остальным документам — по специальному разрешению пользователя. Таким разрешением можно считать использование системного диалога открыть/сохранить файл.
Это, как уже обсуждалось, плохо реализуется на практике.

AF>Доступ в реестре — только к тем веткам, которые нужны приложению для работы.
Это опять предложение вроде "порох непромокаемым". Я так тоже могу: "давайте запретим приложению доступ ко всем ресурсам, кроме нужных ему для работы". Ты включи регмон во время работы любого приложения — будешь удивлён, к скольки местам ему надо доступ. Причем значительная часть этого доступа осуществляется вообще системой, без ведома прикладного кода. Но от имени прикладного процесса. И на этот раз трюк с диалогом, который волшебным образом запоминает путь к файлу, который выбрал пользователь, не пройдет — нет там никакого диалога.

AF>Важно понимать, что доступ к каждой опасной возможности можно включать или выключать независимо для каждой возможности и каждого приложения в отдельности. Набор разрешений для каждого приложения хранится в специальном файле, который мы будем называть манифестом безопасности. Такие манифесты могут быть созданы производителем системы защиты для стандартных категорий приложений и должны покрыть процентов 50 приложений — которые были написаны по гайдлайнам.
Прекрасно. Как мы уже увидели, per-application manifest совершенно недостаточны. Либо весь функционал WinAPI нужно выносить в отдельные процессы, с которыми будет взаимодействовать приложение. Это крайне дорогостоящее решение, и в первую очередь — в тестировании. И это мы еще даже не подошли к проверке справедливости оценки в 50%. Она, надо полагать, получена по методу блондинки — "заработает/не заработает"?

AF>Также нужны vendor-defined манифесты — для более кривых программ. Здесь вероятно потребуется организация, которая будет проверять манифесты (чтобы не разрешали слишком много) и ставить цифровую подпись.
AF>Приложение, которое имеет манифест одного из этих двух типов — получает красивый сертификат "Приложение повышенной безопасности", которое вывешивается на сайте производителя и коробке с продуктом, и дает производителю +50% merchant skill.
Смелая гипотеза, особенно про +50% merchant skill. Мне напомнить про т.н. Windows Logo Program? Посчитай, сколько из твоих программ имеют это Windows Logo. А для пользователя что одно, что другое — одна фигня: "какая-то финтифлюшка, выдаваемая за деньги". К Merchant Skill дают добавку более независимые штуки, типа "Editor's choice". А сертификат — +0.00050%.

AF>Приложение, у которого такого манифеста не будет — вероятно, не сможет работать.
AF>Здесь понадобятся user-defined манифесты. Пользователь может вообще отключить любые ограничения, если очень доверяет производителю. Здесь хочется сделать ремарку, что если пользователь полный дурак и при этом имеет админские права, и на все вопросы отвечает "разрешить" — то защитить его систему невозможно в принципе, поэтому такую задачу мы рассматривать не будем.
Здесь хочется сделать ремарку, что 100% приложений в начале предлагаемой эпопеи попадут в эту категорию. Поэтому пользователю придется доверять производителю — что, никто не ставил неподписанные драйвера для висты? Таким образом, с самого начала мы имеем пользователей, задолбанных необходимостью наруливать невнятные права по безопасности. Поскольку квалификация среднего пользователя никак не позволяет ему отличить HKCU от HKLM, то пользователи скорее будут искать решения на форумах — типа "вот рег файл, который ставит манифест для принцесс оф зелда". Ну, а дальше мы имеем все радости жизни от системы, доверие к которой подорвано с самого начала. Поскольку пользователи так и так будут знать, что "AF Protection — унылый отстой, оно мне еще ни для одной программы манифест не нашло, там всегда нужно говорить Yes, Yes, I Agree, Ok — иначе нихрена не работает", то малварь ни секунды не задержится на входе.

Здравствуйте, Cyberax, Вы писали:
C>Процесс с плугином запускается, запускает COM-сервер, регистрирует свою фабрику объектов. Затем подсистема OLE создаёт нужный объект и занимается маршаллингом вызовов.
Да? А мне тут Andrei F только что рассказывал, что достаточно флажок у CoCreateInstance в explorer.exe поменять, и всё волшебным образом заработает.

C>Но ничто не мешает:
C>1) Сделать немного более легковесный механизм для плугинов (тот же стандарт ActiveX доработать, добавив поддержку out-of-proc).
О-о, начинается. Да, вот бы нам машину времени и обратно в 1989, чтобы успеть войти в совет директоров MS. И денег надо с собой взять не забыть — чтобы оплатить доработку стандарта ActiveX. Ну, и желательно не забыть диск с Visual Studio 2008, потому что средства разработки COM в 1991 году были, мягко говоря, так себе. А, ччёрт, там же еще нет нормальных машин, чтобы студия взлетела! Короче, придется брать сразу весь ноут. Вот Гейтс охренеет, когда я ему Win7 RC покажу!

Здравствуйте, Ikemefula, Вы писали:

I>За три сервиспака фич добавлено с гулькин нос.

За 3 севрис пака фич добавлено больше, чем отличий между XP SP3 и вистой, вообще-то.

Здравствуйте, Ikemefula, Вы писали:

I>Здравствуйте, DOOM, Вы писали:

I>>>Ну мало ли. Суди сам. Пиши сразу — ссылок, информации нет. Это по крайней мере понятно сразу. А то пишешь то про аналитику, то про фичи известные тебе а ни то другое хотя бы примерно показать не можешь.

DOO>>Ссылки есть, но я не понимаю, почему я должен тратить свое время на поиск вещей, которые ты и сам мог бы найти, было бы желание.

I>Ты слегка поторопился своим языком.
I>Нет той аналитики о которой ты говорил.
I>И списка фич в сервиспаках, которых больше чем разницы между XP и Vista тоже нет.
I>Вот и всё.
Нет уж товарищ, Ikemefula. Если ты не знаешь, как в support.microsoft.com извлечь информацию по новым фичам каждого SP для XP — это твои проблемы. Не надо меня DoS'ить трудновыполнимыми запросами — я могу это делать только, если
1. У меня есть на это время.
2. Это реально надо тому, кто запрашивает, а не то, что кто-то шлангом прикидывается и ему надо банальные вещи доказывать.

Здравствуйте, Sinclair, Вы писали:

AF>>Причина очевидна и я уже здесь писал. Чтобы перекрыть процессу доступ к API, сторонней фирме нужно использовать перехват API и прочие злые хаки, а Microsoft — просто вставить пару строк в исходный код.
S>Это вопиющая глупость. "Пару строк" малварное приложение просто скипнет, сделав прямой джамп на X байт ниже адреса точки входа в DLL. Там всё должно проверяться в кернел моде.

Лучше так — загрузить ДЛЛ к себе в память почти как обычный файл, пропатчить там нужные байты и перенастроить таблицы импорта-экспорта что бы юзалась вторая копия а не первая. Это более правильный способ, нежели джампы всякие, не требует особых усилий, потому что от джампов довольно просто защититься.

Вуаля — все в шоколаде.

Andrei.F, у тебя есть готовое решение, как защититься от этой дыры ?

Здравствуйте, Ikemefula, Вы писали:

I>Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею.
I>Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться.
I>Сделать могут. Только с первым же выходом системы с тким файрволом им придется судиться со всеми крупными игроками этого рынка.

Если не ставить most restrictive mode по умолчанию — всё будет работать и ни с кем судиться не придется.

I>Потому Микрософт делает именно вот такой убогий фаервол, что бы защитить не отрубая рук и при этом не задавить рынок фаерволов.

Другим производителям это не мешает писать нормальные фаерволы, а "как не задавить конкурентов" M$ всегда интересовало в самую последнюю очередь.
Ты полный идиот или тролль. Изыди, нечистая сила.

Здравствуйте, Mamut, Вы писали:

M>Ну, малварь может взломать и само приложение и перезаписать/обновить свой профиль, расширяя полномочия именно приложения. А потом от лица приложения творить, что хочет. Или не может?

Профиль идет в пакете вместе с приложением, и ставится в папку, куда писать можно только руту — соответственно, если приложение работает без прав рута, то злоумышленник, даже в случае эксплуатации уязвимости, позволяющей выполнение произвольного кода, не сможет ни сменить профиль, ни выполнить какие-либо действия, запрещаемые профилем. В случае, если бы не было AppArmor, злоумышленник обладал бы всеми привилегиями пользователя, который запустил приложение.

Здравствуйте, kochetkov.vladimir, Вы писали:


KV>Может стоит сначала определиться с целью данной системы в терминах "субъекты-угрозы-риски", а уже потом спорить о том, насколько реально и целесообразно ее создавать?

Распугаешь всех только

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Andrei F, с чем конкретно не согласен? С тем, что обсуждение любой системы лучше начинать с определения того, какую задачу она будет решать, или с высказанным мнением что у тебя нет четкого понимания с чем и зачем должна бороться такая система?

AF>Не согласен — с извращением моих слов.

Я же не приписывал их тебе, я просто озвучил как эти слова воспринимаются мной. Ты не согласен с тем, что я их воспринимаю именно так?

AF>Я написал вполне ясно, в чем смысл идеи — нужно ограничивать доступ к данным и опасным возможностям ОСи не только на уровне пользователей, но и на уровне приложений.

Т.е. объектами твоей модели разграничения доступа являются приложения. Отлично. Но операционная система не в курсе что такое "приложение". Уже упомянутый тут Symantec Antivirus или Microsoft Firewall Client, или Lotus Notes, или JRE — это приложения в терминах твоей модели? Что ты будешь делать с тем, что тот же SAV — это 7 процессов, 4 драйвера ядра и 2 системных службы? Кто будет собирать этот зоопарк в "приложение" к которому нужно применить нужную политику разграничения доступа?

Идем дальше: субъектами твоей модели являются "данные" и "опасные возможности ОСи". Сам не находишь, что эти термины несколько расплывчаты? Что такое "данные"? В начале треда ты намекнул на то, что это объекты файловой системы. И все?

То же самое с опасными "возможностями" ОС. Опасной "возможностью" ОС является является любая "возможность", для которой математически не доказано отсутствие уявзимостей в ее архитектуре и реализации. Иными словами, такими "возможностями" являются практически все "возможности" ОС. Если не согласен — озвучь, плс, свои критерии оценки "опасности" таких "возможностей". А то, что под "возможностями" могут скрываться как системные вызовы, так и (например) побочные эффекты от использования совокупности определенных вызовов в определенном порядке, говорит об охренительной сложности реализации предложенной тобой модели, обусловленной вот такими вот деталями, которые ты почему-то считаешь несущественными.

И самое главное, ты ни разу не объяснил, чем же эта модель будет лучше уже существующих (дискреционной, ролевой, мандатной и т.п. и их сочетаний). Причем походя раскритиковал последнюю, несмотря на то, что предлагаешь нечто, весьма на нее похожее.

AF>С чем и зачем должна бороться такая система ограничений — это вполне очевидно.

О да, конечно очевидно, что она должна ограничивать доступ к "данным" и "опасным возможностям" ОС на уровне "приложений", тут сложно спорить

AF>Ну или мне так казалось. Несколько человек, действительно, поняли. К моему разочарованию, их оказалось единицы.

Ты предлагаешь реализовать достаточно дорогостоящую и сложную штутку, считая что выгоды от ее внедрения будут и так всем очевидны. Это заблуждение, т.к. даже генерация идей (т.е. начальный этап) на подобную тему должна иметь под собой фундамент в виде конечной цели разработки модели в терминах "мы хотим минимизировать риски по угрозам A,B,C, на столько-то за счет того-то и того-то, угрозы D и E закроем одной из существующих моделей, а на F и G пока вообще забьем, т.к. это зона ответственности разработчиков приложений. в результате мы получим модель доступа, аналогичную мандатной, но обеспечивающую уровень безопасности на столько-то выше дискреционной и настолько-то выше мандатной, что и является целью нашей разработки".

А дискуссии на тему "почему бы не сделать вот так", без четкого понимания конечной цели, со стороны выглядят как встречи клуба анонимных фантастов.

AF>У тебя возникли какие-то сложности с пониманием, или ты просто не читал, но свое веское мнение имеешь?

А ты перестал убивать бабушек по утрам, или уже перешел на тяжелые наркотики, но по-прежнему не можешь избавиться от алкогольной зависимости?

AF>От остальных я также узнал, что:

Долго думал, почему ты написал это в ответе мне. Единственное что пришло в голову, что тебе интересно мое мнение на этот счет. Ну, ок:

AF>1. бороться с дырками вообще бесполезно — потому что чем меньше дырок, тем больше вирусов

Количество вредоносного ПО под конкретные системы линейно зависит от популярности этих систем. Степень их уязвимости тут не причем.

AF>2. бороться с дырками опять же вообще бесполезно — даже если их все закрыть, малварь будет мимикрировать под полезные приложения и с этим абсолютно ничего невозможно поделать

Не факт, что с этим надо что-то делать. Безопаность ради безопасности никому не нужна. Если проще и дешевле оставить уязвимость открытой, чем нести затраты связанные с ее устранением, то разумнее пойти первым путем.

Отсюда следует важный вывод, что безопасность — это не только закрытые "дырки", это компромис между защищенностью и кучей факторов, связанных с целесообразностью и стоимостью ее обеспечения.

AF>3. умные люди уже давно продумали все возможные варианты, поэтому сиди и не рыпайся. То, что продукт "умных людей" на редкость крив и убог — вообще не твоего ума дело.

В такой формулировке не согласен (правда, что-то я ее тут, в теме, не нашел). Но и отметать любые аргументы против твоей идеи здесь — тоже не самая разумная и перспективная лично для тебя модель поведения

AF>4. это обойдется очень-очень дорого, потому что весь софт придется целиком переписывать,

Дорого, да. Переписывать придется много, тоже да. Достаточно дорого и много, чтобы задуматься над тем "а надо ли оно вообще в такой реализации?".

AF>потому что по другому они не представляют как решить эту задачу, а значит это вообще невозможно

Склонен не согласиться с выделенным. Но, по крайней мере, имеет смысл изучить всю доступную информацию на тему "значит это вообще невозможно", т.к. безопасность в MS обеспечивают весьма умные дядьки, редко позволяющие себе столь категоричные высказывания без веских на то оснований. А здесь общаются достаточно умные дядьки, редко позволяющие себе говорить что-либо от лица умных дядек из MS, руководствуясь при этом лишь собственной фантазией.

И тетьки кстати тоже

AF>5. обеспечивать безопасность — вообще не задача ОС

В такой формулировке — именно так. И ты получил такой ответ именно потому, что сам до конца не разобрался, об обеспечении какой безопасности и от чего, ты здесь рассуждаешь.

Здравствуйте, Mamut, Вы писали:

M>А что, есть ОСи, в которых это реализовано? Или это просто «хачу, шобы МС так сделал»?

Ну например — AppArmor, очень похожая идея. Теперь, когда я дал ссылку на авторитет, мои слова уже можно начинать читать и даже немного пытаться понять?

Здравствуйте, Andrei F., Вы писали:

AF>Повторяю еще раз, по буквам. Приложение может писать только туда, куда ему разрешили — непосредственно этому приложению или классу однотипных приложений. Как именно разрешать — это отдельный большой вопрос, но он точно решаем.

Ну вот когда придумаете КАК решаем, тогда возвращайтесь — мы продолжим обсуждение. Пока это все пустые слова и фантазии.

Здравствуйте, Ikemefula, Вы писали:

I>Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.

Здравствуй Капитан Очевидность! Может тогда нахер всю безопасность? Это для хоум юзера побоку вся эта безопасность, а вот корпоративному сегменту, вся эта безопасность ой как нужна, для них, собственно, ноувелл и делал аппармор. Кроме того профили софта позволяют уменьшить последствия взлома браузера, например. Но от действий установленной малвари это не спасёт, от малвари защищаются совершенно другими методами. Основная причина появления SELinux и AppArmor'а в том, что довольно сложное приложение запускать нужно с наименьшими необходимыми правами, причём даже права пользователя под которым оно запущено слишком широки, в общем случае, а всё из-за того что не всякому софту можно сделать аудит, мало того этот аудит стоит значительно дороже чем, простое описание того куда приложение может щимиться в сеть, куда сохранять файлы и что ещё может запускать. Этот периметр определяется довольно легко, это может сделать даже не имея доступа к исходникам и авторам программы.

Основная цель AppArmor-а SELinux-а уменьшить издержки на безопасность, как со стороны производителя софта, так и со стороны пользователя. Собственно чем бы от этого стало хуже винде и её пользователям для меня загадка. Ведь необязательно писать эти профайлы для каждой софтины. Ну кто, простите меня, будет пытаться использовать уязвимости слабо распространённой программы? Достаточно таких профилей для системных сервисов, всяких браузеров и, возможно, оффисов. И написать в каких-нибудь гайдлайнах что это кошерный способ сказать что ваше приложение секурно.

ЗЫ CAS же вон для дотнетовских прог зря сделали? Это ведь тоже направление на корпоративный сектор.

Здравствуйте, DOOM, Вы писали:

DOO>Идея, на самом деле, очень простая и, как ни странно, очень действенная. Для SELinux все, что надо это неабор стандартных заготовок под весь более-менее популярный софт + мощный инструмент дизайна политик. Кстати, может это все и есть — я никогда этим вопросом плотно не занимался.

Этот SELinux привел уже к формированию стойкой привычки среди администраторов: если что-то в системе не работает, для начала проверь, не включен ли SELinux

С ним беда та, что те политики, которые прилагаются к программам, содержат в себе изрядное количество мелких ошибок. И как тестировать, тоже не очень понятно, потому что какие-то файлы программа жует всё время, их легко оттестировать, а какие-то редко, и поэтому погоняв программу разумное время, все равно нельзя быть уверенным, что все с ней хорошо. Причем не все еще программы понимают, что их SELinux послал, и программа может даже не жаловаться, а просто тихо глючить.

Здравствуйте, Andrei F., Вы писали:
AF>Что-то я упустил один из шагов твоей логики... каким образом "веб-клиент банка и малварный флеш-ролик" оказались в одном процессе?
Оба работают в браузере. У них обоих origin — то место, откуда загрузился процесс браузера.

AF>Не будет осложнять. Один из плюсов моей идеи — законопослушный пользователь даже не узнает о существовании защиты, пока приложение не попытается сделать что-то неразрешенное.
Один из минусов — никакой модели нет. Есть общие соображения, которые плохо совместимы с практикой.

AF>Анекдот про японцев и туалет слышал?
Анекдоты — это в КУ. Если берешься рассуждать о безопасности, то придется ознакомиться с матчастью, а не с анекдотами.

Здравствуйте, Andrei F., Вы писали:


C>>В частности, обычному пользователю запрещено писать или изменять что-то в Program Files.

AF>Я говорил не про пользователя, а конкретную программу. Чувствуете разницу?

Нет, не чувствую. Программы выполняются под пользователем. Не знали об этом?

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, gandjustas, Вы писали:

G>>Да сделали, еще начиная с XP. Завывается ACL и priveleges. Вот только под учеткой с какими правами большинство пользователей работает?

AF>Это должно зависеть не от учетки, а от приложения. Например, приложение, которое запускается не из под Program Files — должно иметь пониженный набор привилегий.

Угу. А теперь придумай способ гарантированного определения программы.
Особенно из глубин kernel32.dll.

Здравствуйте, Andrei F., Вы писали:


AF>Значит, нужен другой sandboxing — с послаблениями.

Какими?

M>>Andrei F., правда, так и не раскрыл, в какой ОС он видел реализацию того, что он требует

AF>О боги, не перестаю удивляться, как невнимательно люди читают, но при этом все равно пишут и пишут...

Так в какой?

Здравствуйте, criosray, Вы писали:

AF>>О боги, не перестаю удивляться, как невнимательно люди читают, но при этом все равно пишут и пишут...
C>Так в какой?

не, ну разве непонятно — намек на то, что венда отстой по причине отсутствия selinux/apparmor а про "в какой" так тут (в КСВ) вообще никакого разнообразия выбора

AF> M>а) не привел ни единого аргумента, что это важно и нужно или что это лучше существующей системы (ну или хотя бы лучше разграничения прав пользователей a la linux)

AF> То, что существующая система не справляется с задачей — не аргумент?

В винде — быть может (пока) не работает. В *nix'ах работает.

AF> M>б) ты не привел примеров того, как это будет работать вообще (хотя я попросил рассказать, как это работает на примере того же AppArmor'а)

AF> Я описал достаточно, чтобы понять — если есть желание понимать. Если желания понимать нет, то я ничего не могу сделать


Да нифига ты не описал. Все, что ты сказал — это «хачу фаервол только для локальных ресурсов». Как только стали появляться вопросы про «а как ты себе это представляешь?» ты почти сразу переходишь на

Это всё суета и неважно.

Все сводится к банальному:
— есть туева хуча приложений, которая может и будет писать куда угодно, кроме системных папок. Это текстовые и графические редакторы, да и вообще редакторы всех типов — от редаторов заметок, до дизайнера электрических схем.
— есть туева хуча приложений, которые в большинстве случаев должны писать только в определенные места, а когда надо — писать кдуа угодно. Это мессенджеры всех мастей (историю — в одно место, принимаемые файлы — куда угодно), почтовики (почту — в одно место, аттачменты — куда угодно), браузеры (историю и куки — одно место, скачиваемые файлы _ куда угодно)
— есть некоторое количество приложений, которые должны сидеть в своей норке и не высовываться. Сходу не придумаю, но, думаю, такие есть.


Как это разграничить правильно — неизвестно. Потому что WriteFile — он остается функцией WriteFile для любой из трех категорий.

При этом ты утверждаешь, что такую систему разграничений можно сделать так, чтобы не ломались

Автор: Andrei F.
Дата: 18.05.09

существующие приложения, не меняя API системы и т.п. Как только спрашиваешь тебя — как?, начинается — вы все тупые, нифига читать не умеете, все это — суета сует


ЗЫ. Мне все еще интересно, как с этим всем справляется AppArmor.

Здравствуйте, Andrei F., Вы писали:

AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением?

Ничего не мешает. Только люди такое покупать не станут.

> Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?

Эдак минимум половина софта сразу отвалится и перестанет работать.

AF>Почему они этого не сделали?

Во первых, любая защита преодолевается при наличии должного интереса.

Т.е. задача "щит и меч" не имеет решения в общем случае.

Сравнивать с AppArmor на линуксе некорректно, т.е. аудитория по кол.ву и качеству отличается радикально. Лунукс это приерно как Неуловимый Джо, хоть с защтой, хоть без неё, вирусы писать под него невыгодно.

Во вторых, безопасность или функциональность друг с другом не уживаются. Или то, или другое.

Это значит, для защитить можно только отрубая руки пользователям. Взять те же хуки — на них очень много вкусных вещей делается, про которые ты даже и не догадываешься, но пользуешь.

В третьих, безопасность увеличивает в разы время на тестирование, а стало быть это удорожание системы

В четвертых, сейчас уже поздно чтото радикально менять в этом плане.

Здравствуйте, Andrei F., Вы писали:

ДД>>Потому что это дополнительные материальные затраты, не несущие дополнительной прибыли.

AF>Как это не несущие? Надежная защита от троянцев и малвари стоит того, чтобы немного пошевелиться.

Как ты будешь проверять, что программа не имеет прав записи куда либо, кроме My Documents или определенных расширений ?

Каким то программам надо будет давать права писать куда угодно, ткие программы и будут ломаться разынми спосбами.

Например через Windows Update, инсталяторы и тд и тд. Пока на пользовательских компьютерах есть вагоны мусора, пиратские сборки и тд, с троянами бороться бессмысленно.

AF>Да и затраты невелики.

Ага, добавить еще один слой и оставить тестирование на нынешнем уровне ?

Здравствуйте, Andrei F., Вы писали:

AF> Повторяю еще раз, по буквам. Приложение может писать только туда, куда ему разрешили — непосредственно этому приложению или классу однотипных приложений. Как именно разрешать — это отдельный большой вопрос, но он точно решаем. Ключевой момент — разрешение доступа на уровне приложений, а не пользователей. Доступ к опасным возможностям должен даваться отдельными категориями, а не "всё или ничего", как сейчас.

Я так понимаю, *nix ты в глаза тоже не видел И судишь только по винде. Ты можешь внятно рассказать, чем существующая, например, в *nix'ах, модель плоха?

Здравствуйте, IID, Вы писали:

IID>То что ты хочешь называется Проактивная защита.

"Проактивной защитой" оно начало называться тогда, когда Касперский узнал о существовании mandatory access control и решил реализовать нечто подобное в своем продукте

Здравствуйте, Andrei F., Вы писали:

AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?
AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран?
AF>Почему они этого не сделали?
Потому, что если они это сделают то пойдут так далеко и надолго, как их еще никто не посылал.
Идиотизм в чистом виде.

Здравствуйте, Ikemefula, Вы писали:

[skip]

Знаешь, от того что ты в очередной раз повторил кучу банальностей ценность AppArmor'а и SELinux'а не изменилась, из контекста взломанного приложения вредонос уже ничего особого сделать не сможет. От взлома серверов обновления и малвари юзерский комп AppArmor не может, по одной простой причине, он на это не рассчитан. Защита сервера обновлений — это дело того кто им занимается, а там сам понимаешь совершенно иные требования и возможности.

Вобщем ты можешь петь по то, что в колбасе потребности нет и те кто пользуются линуксом не интересуют взломщиков и что Виндовс лучшая пользовательская система.

Здравствуйте, Ikemefula, Вы писали:

I>Да, банальности. Для чего вводить защиту которая ничего не защищает, не ясно.
I>Проще и целесообразнее отдать эту защиту на откуп антивирусным компаниям.

Тогда я тебе ещё раз повторю: эти средства снижают издержки на безопасность и у производителя софта и у пользователей, которым это надо (корпоративный сектор в частности). Давай разверну: большинство антивирей и прочих анти-... используют различные хаки, недокументированные АПИ и пр. Для них нужен нормальный АПИ, тогда их разработка будет обходится дешевле. Кроме того сами производители софта с удовольствием наклеят на коробочку наклеечку: "Повышенна безопасность" при малых затратах (описать 10-к правил). Ты понимаешь что при наличии таких механизмов снизится стоимость снижения опасности взлома?

DC>>из контекста взломанного приложения вредонос уже ничего особого сделать не сможет.
I>В большинстве случаев хватит этого самого контекста и человеческого фактора.
Ну например, есть страница использующая уязвимость браузера и злоумышленник может выполнять любой код в контексте браузера с правами юзера. И теперь рассмотрим случай когда для браузера настроены политики, писать только в свои ветки реестра, читать только нужные, ограничен запуск чего бы то ни было, всякие вызовы COM и прочего, писать файлы можно. Короче Производитель постарался и настроил так, что права необходимо минимальны. Давай сценарии.

I>В том то и дело, что всего то надо изменить цепочку для взлома, что бы взломать компьютеры пользователей.
Угу, только взлом сервера обновлений значительно более дорогое удовольствие, согласись.

I>Пользователей нужно воспитывать, а не заставлять пользовать идеальную мега-защиту.

О, как . Не ослышался ли я? Кто там говорил про отрубание рук? Лучший метод, видимо, отрубить руки?

Здравствуйте, March_rabbit, Вы писали:

M_>эх... кто бы убил авторов-разработчиков StarForce....

Помню на одной выставке я видел их стенд... Кто бы знал, чего мне стоило проходить мимо него как ни в чем не бывало

Здравствуйте, Pzz, Вы писали:

Pzz>Здравствуйте, waricom-11, Вы писали:

Pzz>>>Кому он нужен, ваш админ? Что с его помощью можно сделать приятного? Адрес на сетевом интерфейсе изгадить?

W1>>Вы совершенно не понмаете сути написанного.

Pzz>Ну как вы понимаете, такое заявление, безо всяких аргументов, делает дальнейшее продолжение конструктивной дискуссии крайне проблематичным.

Вы все же разберитесь. Админ — субъект безопасности с бесконечной свободой действий, которую перерыть не удастся по определению.

Pzz>>>Гораздо полезнее выковырнуть из вашего веб-бровсера пароль к вашему банковскому счету.

W1>>При разделении безопасности на уровне программ, и даже на уровне отдельных компонент такой фокус не пройдет.

Pzz>Вы говорите о некотором абстрактном светлом будующем, или о реальном мире, в котором работающие бровсеры можно пересчитать на пальцах одной руки, и не один из них не распилен на компоненты правильным образом?

Я говорю о реально существующих технологиях, вроде явы или дотнета. В которых таки возможны безопасные программы.

Pzz>>>Водитель ли должен отвечать за аварию, если к ней привела ошибка в конструкции тормозов?

W1>>А суд разберется.

Pzz>Автомобиль — довольно простая штука, и если он правильно обслуживается и регулярно проходит техосмотр, то можно быть почти наверняка быть уверенным, что тормоза работают у него правильно. Кроме того, в случае сомнений завсегда можно сделать экспертизу бренных останков автомобиля и выяснить, не явилась ли какая-то неисправность причиной аварии.

Pzz>В случае компьютера найти ответ будет значительно сложнее.

Для начала, автомобиль — материальный объект. С неисчислимым количеством свойств. И подверженный физическому износу. Программы же не изнашиваются, и имеют вполне определенный интерфейс.

Представьте, что к вам в дом залезли грабители. Дверь болгаркой вскрыли и влезли. Виноваты грабители.
Но если проводить аналогию с программными продуктами, дом у вас сделан из материала абсолютной прочности, и окна, и двери. Тогда, если к вам залезли — значит у вас в доме есть дырки или вы сами открыли дверь, виноваты, соответственно, вы.

Прозреваю возражения — "дом строил не я, я вообще не строитель, а баба клава-счетовод". Ну так иди, уважаемая баба Клава вместе с заслуженным дядей Петей, играй на PSP и смотри телевизор, компьютер тебе без надобности. А сел за руль — отвечай за свои действия. Спички детям не игрушка.

Здравствуйте, Pzz, Вы писали:

Pzz>Здравствуйте, waricom-11, Вы писали:

Pzz>>>Ну как вы понимаете, такое заявление, безо всяких аргументов, делает дальнейшее продолжение конструктивной дискуссии крайне проблематичным.

W1>>Вы все же разберитесь. Админ — субъект безопасности с бесконечной свободой действий, которую перерыть не удастся по определению.

Pzz>Совсем не обязательно, кстати. В венде можно выставить такие права файлу, что админ его не прочтет. А Вася Пупкин, которому принадлежит файл, прочтет. В SELinux тоже можно, только затрахаешься.

У админа есть привилегия TakeOwnership, смена владельца у объекта. Но можно это привелегию убрать. А еще админ может открыть файл как для резевного копирования и тоже проигнорировать права доступа. Это тоже можно отобрать. А еще можно свой драйвер загрузить, и прочитать напрямую с диска, минуя стэк файловой системы... короче, путей много, а разгадка одна — безблагодатность ^W, то есть я хотел сказать безграничные права админа и дизайн системы, эти права требующий.

W1>>Я говорю о реально существующих технологиях, вроде явы или дотнета. В которых таки возможны безопасные программы.

Pzz>Увы, бровсеров на дотнете еще не написано, а единственный бровсер, написанный на яве, умер сто лет назад. Выбирать-то приходится из множетсва существующих программ, а не множества программ, которые могли бы существовать.

Живой он, этот браузер HotJava. Будет необходимость — допишут.

Pzz>А говоря о технологиях, вы тем самым говорите о светлом будующем. Да, с помощью этих технологий можно (наверное) писать более безопасные программы. Наверное, через сто лет напишут

W1>>Представьте, что к вам в дом залезли грабители. Дверь болгаркой вскрыли и влезли. Виноваты грабители.
W1>>Но если проводить аналогию с программными продуктами, дом у вас сделан из материала абсолютной прочности, и окна, и двери. Тогда, если к вам залезли — значит у вас в доме есть дырки или вы сами открыли дверь, виноваты, соответственно, вы.

Pzz>Ну если так рассуждать, то и в первом случае виноваты не грабители, а те, кто дверь сделал. Ибо нефига делать дверь, которую можно распилить обычной болгаркой. А грабители вообще ни в чем не виноваты.

Нэтъ (с).
В реальном мире не бывает материалов абсолютной прочности. А в мире программ — только он и есть.

Здравствуйте, dr.Chaos, Вы писали:

DC>Каких защит? Не понял о чём ты? Для .Net есть же CAS, это же можно сделать для натива.

I>> Взломы тоже удешевятся. Неужели это не понятно ?

DC>Не понятно, объясняй.

Что же тут неясного. Когда в доме все замки одинаковые, долго возиться нужно только над первым.

стоимость первого взлома увеличивается, а взлом второго и последующих по стоимости равняется нулю.

I>>Касперский в свох нтервью говорит очень просто на эту тему.

DC>Ну естественно, он продаёт заплаты для дыр, это хлеб было бы странно если б он говорил что-то иное.

Ага, ну да, лучше сразу предположить всемирный заговор, это точно всё объяснит.

I>>АПИ надо, но в для качественной работы софта, а не для повышения безопасности.

DC>Безопасность в качество не входит?

Качество это стабильность, быстродействие, расход памяти в первую очередь.

I>>Ну, то есть, ты сразу обрезал процентов 80 того, что сейчас может использовать пользователь. Очень хороший подход.

DC>А зачем пользователю использовать что-то кроме того что предусмотрел разработчик?

Разработчики уже предусмотрели слишком много. В этом и проблема.

I>>Но и здесь засада, вагон приложений использует IE, как с ними быть ?

DC>Для обычного юзера, положиться на дефолтные политики, кому надо что-то больше ужесточать их.

Конкретно, у меня будет возможность скачивать ПО из инета, тут же запускать его, инсталировать и тд и тд ?

Ты думаешь корпоративные пользователи чем то отличаются от хомюзеров ?

I>>Сейчас прокси, антивирусы более-менее нормально справляются и при этом без отрубания рук в виде запрета вызовов COM.

DC> антивирь не защищает на 100% от вирей. Фаирволл требует обучения, ты это называешь без отрубания рук?

Это минимум по сравнению с тем что хочешь предложить ты.

Кроме того у защиты антивирусами есть неустранимое преимущество перед мега-защитой от Микрософт. Ты должен понимать о чем речь.

DC>Какие именно? Настроить политики для приложении, чтоб они имели только те права которые им нужны? Вот скажи мне зачем браузеру возможность запускать произвольные исполняемые файлы или обращаться к произвольным COM-объектам? Ты объясняй, объясняй зачем большинству приложений полные юзерские права?

Не браузеру надо, а пользователю надо. Браузер поднимает те COM-объекты которые нужны пользователю и ты хочешь это запретить.

И процессы он запускает опять же те, что нужны пользователю.

Если ничего не запускать напрямую, то есть способ использовать другие процессы.

I>>Неужели ты думаешь в Микрософте сидят дураки ?

DC>Нет просто их ситуация устраивает, пипл хавает

Есть определенный спрос на функциональность софта, который тебе хочется игнорировать.

I>>Пользователя понемногу приучают думать про безопасность. Панацеи здесь нет и никогда не будет.

DC>Угу приучают сразу вырубить UAC. Или купить Каспера, который стоит доп денег и кроме того жрёт ресурсы.

Если защиту напишет Микрософт, то это будет вымогательство, потому что пользователей вынуждают это купить.

С антивирусами у пользователя есть выбор, брать дорогой, дешевый, бесплатный, опенсорсный или хоть пиратский.

Это полбеды.

Вторая часть — одна глобальная защита будет обходиться на раз.

Предложение AndreiF равносильно предложению поставить во все дома в городе одинаковые замки, с высоким уровнем защиты, дорогие, но одинаковые.

Если тебе не понятны последствия такого решения, то говорить не о чем.

Здравствуйте, Pzz, Вы писали:

W1>>У админа есть привилегия TakeOwnership, смена владельца у объекта. Но можно это привелегию убрать. А еще админ может открыть файл как для резевного копирования и тоже проигнорировать права доступа. Это тоже можно отобрать. А еще можно свой драйвер загрузить, и прочитать напрямую с диска, минуя стэк файловой системы... короче, путей много, а разгадка одна — безблагодатность ^W, то есть я хотел сказать безграничные права админа и дизайн системы, эти права требующий.

Pzz>Совсем несложно сделать систему, в которой админ не может прочитать пользовательские файлы. Достаточно их, файлы, зашифровать, а админу ключ не сказать.

Когда будет разработан мега-процессор, который сможет шифровать любое количество данных за 1 такт процессора, так и будет.

Здравствуйте, Ikemefula, Вы писали:

I>Когда будет разработан мега-процессор, который сможет шифровать любое количество данных за 1 такт процессора, так и будет.
Какие проблемы-то? Шифрование данных "на лету" не добавляет существенной латентности к большинству дисковых операций (http://www.phoronix.com/scan.php?page=article&item=ubuntu_jaunty_encrypt&num=5). А твои фантазии, как обычно, к реальности отношения не имеют.

Здравствуйте, waricom-11, Вы писали:

W1>Это надо будет перелопачивать весь массив кривых программ, которые писали, не думая про безопасность. Создавать профили безопасности для каждой программы, руководства для программистов писать. Гигантская работа, и вдобавок ненужная сейчас.

Ну что ты такое говоришь, пустяки какие — миллионы программ переписать да перенастроить, да выдоить из пользователей вагон денег для перехода на новые версии, что может быть лучше то ?

W1>Вообще говоря, невозможность создания непробиваемой защиты в операционке — это бред. Зайдите не под админом и попробуйте что-нибудь сделать с системой. Непробиваемость SeLinux доказана математически.

Почему же, возможно. Только в ряде случаев остаётся ЧФ, зависимость от которого мега-защиты усиливают, остаются баги в настройке-установке, проблемы с обновлением и самый простой — вредоносная работа безо всякого взлома.

Вот, к примеру, чем вирус отличается от аутлука или QIP ?

W1>А посему, надо вводить ответсвенность владельцев компьютера за поведение компьютера. Штрафовать за рассылку спама и т.п. Взломали кого-то через прозрачный прокси на твоем компе? Штраф плати. И не разводи зоопарк у себя в системе. Ворд слишком сложно защитить? А мы напишем редактор на яве, правда по функциональности он будет в 10% от ворда, но норот и 5% не знает, и поэтому будет пользоваться.

Ага, очень круто. Я напишу для тебя прогу, взломаю через неё банк, а сидеть ты будешь

Здравствуйте, Ikemefula, Вы писали:

Pzz>>Совсем несложно сделать систему, в которой админ не может прочитать пользовательские файлы. Достаточно их, файлы, зашифровать, а админу ключ не сказать.

I>Когда будет разработан мега-процессор, который сможет шифровать любое количество данных за 1 такт процессора, так и будет.

Ваш винчестер способен читать или писать любое количество данных за 1 такт процессора? Если да, скажите, как он называется, я такой же куплю.

Здравствуйте, Sinclair, Вы писали:

S>Если ты так в себе уверен и знаешь матчасть настолько, что готов бить канделябром несогласных, напиши здесь полную блок-схему новых действий, выполняемых в функции CreateFile. А я буду бить канделябром за каждую уязвимость в этой схеме, ок?

Заплати — напишу подробную спеку. Я надеюсь ты не думаешь, что такую сложную (как ты сам утверждаешь) работу кто-то станет делать бесплатно?

S>Приблизительно. Прикинул общее количество функций, только и всего. Возможно, какие-то из них защищать не нужно. Но система, построенная по принципу "запрещено по умолчанию" не может просто надеяться на авось — для каждой функции нужно тщательно проверить наличие уязвимостей.

Расскажи список категорий.
Кстати, интересная у тебя логика. Если в системе защиты можно найти хотя бы одну уязвимость — значит, лучше не делать защиту вообще. Гениально

Здравствуйте, Andrei F., Вы писали:

AF>Не будет осложнять. Один из плюсов моей идеи — законопослушный пользователь даже не узнает о существовании защиты, пока приложение не попытается сделать что-то неразрешенное.

Пользователь узнает это уже на этапе open-save диалог. Даже более того — при запуске многих приложений.

Здравствуйте, Sinclair, Вы писали:

S>Твоя идея вообще ни от чего не защищает. Прежде всего потому, что ты ее никак не сформулировал. Ты даже не объяснил, что именно ты собираешься идентифицировать про приложение — путь запуска екзешника? Путь, откуда фактически он был скачан? Или еще что-то? Без этих уточнений, я повторяю, твоя идея сводится к "давайте изобретем порох непромокаемым".

Путь к стартовому файлу процесса.

Здравствуйте, Ikemefula, Вы писали:

I>Здравствуйте, Andrei F., Вы писали:


S>>>Ты просто плохо себе представляешь матчасть.

AF>>А вот за это в приличном обществе бьют канделябром по морде.

I>Здесь бьют канделябром за фантазии про open-save диалог и win32 контролы в окне Internet Explorer_Server

Да ладно тебе. Здесь (в КСВ) просто тупо бьют канделябром морды друга-друга и все

Здравствуйте, Andrei F., Вы писали:

I>>Повторяю вопрос
I>>Сейчас браузер умеет запускать и использовать много всякой всячины через COM. Ты предлагаешь это обрезать ?

AF>Повторяю ответ. Нет, не предлагаю.

И чем тогда твое решение лучше тех, что сейчас имеют у антивирусов ?


I>>Синклер уже сказал — стратегов пруд пруди, а хорошего сантехника днём с огнём не сыскать.

AF>Это потому что требования выставляют как для стратегов, а зарплату — как для сантхеников.

Ну так вопрос в том, как сделать, а не что сделать. Таких стратегов как ты по сто штук на каждом углу.

Здравствуйте, Ikemefula, Вы писали:

I>>>Я тоже так могу, но приходится посещать самые разны сайты и качать самый разный контент.
C>>Виртуалка.
I>Я уже предложил это, ты опоздал. Вероятно домохозяйки одобрят такое решение.
Одобрят. В Windows 7, особенно.

I>А моя жена, представь, ходит на форумы домохозяек и вообще всякие разные форумы, где трояны и раскидываются, ибо контингент неграмотный.
I>Сравнивать домохозяйку и ИТ-специалиста тоьлко ты можешь.
Я бы лично вводил лицензирование для работы за компьютером...

Здравствуйте, Ikemefula, Вы писали:

I>Я в курсе. Она то осваивать не хочет, а я не люблю заниматься другими компами, мне своего хватает.
Ну я твою жену не знаю, вообще-то. Но если ей трудно F11 в случае проблем, при загрузке подержать, то значит она просто твоего внимания просит, а ты ей каких-то спецов наёмных подсовываешь

AF> I>Если нельзя похачить, значит ты обрезаешь на корню возможности этого диалога.

AF> С чего вдруг? Расскажи, какие возможности окажутся обрезаны и почему?

Например, открой фотошоп и сделай Save As. Там есть куча опций для сохранения. Выполнены с помощью расширения aka хаченья стандартного диалога.

Как только ты обрежешь функциональность этого диалога, разработчики будут пиать собственные диалоги, и идея с «единым диалогом соханения файлов» накрывается медным тазом.

Здравствуйте, Pzz, Вы писали:

Pzz>Что мешает разделить это на два диалога? Один — стандартный системный — выбирает файл (и дает право его открывать). Другой — принаджежащий программе — уже разговаривает на тему preview, форматов и т.п.

То, что авторы программ ещё не выжили из ума.
НАХРЕНА ПРЕВЬЮ ПОСЛЕ ТОГО, КАК ТЫ УЖЕ ВЫБРАЛ ФАЙЛ?

Здравствуйте, Erop, Вы писали:
E>Ну давала, ну и что? Права-то всё равно были бы ограничены правами приложения...
Это кто сказал?
Фишка как раз в том, что не очень понятно, что считать правами. Ну вот, к примеру — есть такой секретный битмэп, который можно заселектить себе в девайс контекст и начать рисовать по всему экрану. Хитрым парням это предоставляет широкие возможности по закрашиванию, скажем, системного заголовка "внимание, это не настоящий логон диалог". Только недалёкие люди могут думать, что здесь можно обойтись без понятий безопасности.

E>Насколько я понимаю, топикстартер рассматривает вообще ситуацию., что кто-то выкачал какое-то не то приложение циликом. И запустил его... Так что вопрос как какой-то код запустить у злоумышленников не стоит уже...
Насколько я понимаю, топикстартер "изобрел" очень старую идею в очень сыром виде. И при этом очень обижается, когда ему на это указывают.

Здравствуйте, Andrei F., Вы писали:
AF>Ты считаешь способность изобретать чем-то плохим?
Нет, плохим считаю конкретное изобретение. А также неспособность видеть недостатки своего изобретения.

AF>Идеи в несыром виде бывают только в законченных продуктах. Да и то не во всех.
Ну, возможно стоило ознакомиться с законченными вариантами своей идеи? Или ты заранее отметаешь всё, что не ты придумал?

Ты спросил — почему не делают так-то и так-то. Тебе ответили: потому что это не работает. В зависимости от того, какие детали вкладывать в твою размытую мысль, получается один из следующих вариантов:
1. Защита ни от чего не защищает, а только затрудняет деплоймент законопослушных приложений
2. Защита защищает, но с ней несовместимы почти никакие существующие программы
3. Защита защищает, программы совместимы, но объем потребной разработки заведомо превышает доступные ресурсы

Если тебе что-то еще непонятно — спрашивай.
Лучше повежливее, потому что заниматься просвещением безграмотных — тоже работа. Которую очень легко отказаться делать.

Здравствуйте, DOOM, Вы писали:
DOO>А то ж...

DOO>Ну вот это, конечно, не на пользу Windows Installer'у...
DOO>Кстати, а что правда все Custom Action выполняются в внутри сервиса Windows Installer, который работает с правами системы???? Зачем тогда отдельный процесс msiexec, к которому и цепляются во время отладки Custom Action? Ты ничего не путаешь?
Да, конечно, не все внутри сервиса. Но это непринцпиально — с точки зрения идеи "проверять путь к екзешнику" оба процесса совершенно равноправны — только один работает под правами пользователя, а другой — системы.

DOO>Будем считать, что MS все это уже прошел во время проектирования UAC (правда не лучшим образом они это сделали).
Угу.

DOO>Ну сколько раз тебе говорили, что против непроходимой глупости не попрешь.
Это ты про топикстартера?
Потому что с точки зрения пользователя, TortoiseSVN будет в точности таким же. Независимо от интеллекта пользователя. Вопрос надежной идентификации application origin — совершенно отдельный и заслуживает длинного обсуждения. Пока что же нам достаточно понять, что дыра всё еще остаётся достаточно размера для просовывания в неё слона. Получается, что без, к примеру, цифровых подписей на приложения вообще ничего работать не будет. В итоге мы опять получаем геморрой для законопослушных вендоров, и открытые двери для злоумышленников.

DOO>Почитал. Идея в общем-то напрашивалась со времен создания механизма управления правами сборок
Про анализ стека прочитал? Про расширяемые наборы привилегий?

DOO>Еще раз — это работает уже давно в корпоративном секторе. Нормально работает. Просто есть соответствующие инструменты.
Есть у меня подозрение, что эти "соответствующие инструменты" работают ровно потому, что до них пока у малварщиков руки не дошли. Потому что количество инсталляций "дефолтной винды" на порядки больше, чем этой экзотики.

Здравствуйте, Andrei F., Вы писали:
AF>Сэндбокс для процесса, доходит до тебя? Сэндбокс!!
Хватит мантры повторять. Сколько ни повторяй "сэндбокс", слаще не станет. Ок, манифест, значит, запретил. А кому манифест это разрешит? Наверное, visual studio, да?
Хм. А у неё, случайно, плагинов нет, которые в адресном пространстве студии работают? Ой, есть! Отлично. Я сейчас напишу считалку количества строк в исходниках и ты сам, лично, добровольно поставишь её в студию и она получит манифест. Потому, что per-application manifest — недостаточно.

AF>Уже давно и не один раз было предложено запускать его в отдельном процессе. Ты явно вообще ничего не читал.
Я читал и даже отвечал. Тут пока только один человек в упор не понимает то, что ему пишут. И этот человек — не я.
AF>Хитрые кастомизации — да, это проблема. Но это точно не showstopper.
Не шоустоппер???? А ничего, что 90% productivity applications использует эти "хитрые кастомизации"? Как именно должен себя вести код винды, в случае если приложение заказывает диалог с custom template и hook function? Выкидывать E_ACCESSDENIED? Прекрасно! То-то пользователь фотошопа будет рад, когда в ответ на Ctrl-S получит "Access Denied". Показывать вместо кастомизированного — стандартный диалог? Ну, тогда тебе нужно убедиться, что всё это вообще будет работать — приложение может ожидать вызова hookProc, и если его не произойдет, то получим undefined behavior. То есть опять имеем мучительную отладку большого количества приложений — либо массовые маты пользователей и отказ апгрейдиться на твою супертехнологию.

Здравствуйте, Cyberax, Вы писали:
C>Идентичность — это НЕ субъект доступа. Это набор привиллегий, которые даны процессу.
Это какая-то новая терминология, которая рождается прямо сейчас. Давай ты будешь либо придерживаться стандартной терминологии, либо пояснять все новые трактовки старых терминов.

S>>Теперь возникает вопрос, что такое эта идентификация посредника. Топикстартер предлагает использовать путь к екзешнику, который стартовал некоторый процесс.
C>А почему бы и нет? AppArmor работает точно так же. SELinux использует специальные метки, которые ставятся в расширенные свойства файла.
Копец. Я уже 11 сообщений написал про "почему нет". Вы вообще читаете что вам пишут?

C>Это всё решаемо. Самый простой способ — это выделение части кода в отдельные процессы.
C>Есть ещё варианты с CAS, но они непрактичны.
C>А почему нет? Фреймы передаём через какой-нибудь zero-copy IPC, их у нас много (что в Винде, что в Линуксе).

C>Вот сейчас проверил — из mplayer'а по пайпам отправил декодированный HD-поток в другой mplayer, показывающий его на экране. Разницы в загрузке процессора по сравнению с одним mplayer'ом просто нет.
Ну, может быть, может быть.

C>Затруднит. Уже один "yes" — это проблема.
В таком случае задача решения не имеет.

S>>Какой-то это убогий смысл. Ну, то есть невозможно назначить разные права разным плугинам одной программы — значит, они все будут иметь суперпозицию прав.
C>Можно, и мы тебе уже сказали как — выделять плугины в процессы.
Осталось решить задачу в общем случае. То есть принудительно заставлять все DLL (или хотя бы DLL с отличающимся манифестом) грузиться в отдельные процессы и обмениваться данными через IPC. Да еще так, чтобы всё работало само собой, без ручной разметки маршалинга.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Andrei F, с чем конкретно не согласен? С тем, что обсуждение любой системы лучше начинать с определения того, какую задачу она будет решать, или с высказанным мнением что у тебя нет четкого понимания с чем и зачем должна бороться такая система?

Не согласен — с извращением моих слов.
Я написал вполне ясно, в чем смысл идеи — нужно ограничивать доступ к данным и опасным возможностям ОСи не только на уровне пользователей, но и на уровне приложений. С чем и зачем должна бороться такая система ограничений — это вполне очевидно. Ну или мне так казалось. Несколько человек, действительно, поняли. К моему разочарованию, их оказалось единицы.
У тебя возникли какие-то сложности с пониманием, или ты просто не читал, но свое веское мнение имеешь?

От остальных я также узнал, что:
1. бороться с дырками вообще бесполезно — потому что чем меньше дырок, тем больше вирусов
2. бороться с дырками опять же вообще бесполезно — даже если их все закрыть, малварь будет мимикрировать под полезные приложения и с этим абсолютно ничего невозможно поделать
3. умные люди уже давно продумали все возможные варианты, поэтому сиди и не рыпайся. То, что продукт "умных людей" на редкость крив и убог — вообще не твоего ума дело.
4. это обойдется очень-очень дорого, потому что весь софт придется целиком переписывать, потому что по другому они не представляют как решить эту задачу, а значит это вообще невозможно
5. обеспечивать безопасность — вообще не задача ОС

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Andrei F, с чем конкретно не согласен? С тем, что обсуждение любой системы лучше начинать с определения того, какую задачу она будет решать, или с высказанным мнением что у тебя нет четкого понимания с чем и зачем должна бороться такая система?

Главное это бороться, а с чем — дло десятое

SendMessage в другой процесс — запретить
Open-Save диалог — кастрировать
Привилегии — поделить
Землю — рабочим
Власть — крестьянам

Здравствуйте, Andrei F., Вы писали:

AF>От остальных я также узнал, что:
AF>1. бороться с дырками вообще бесполезно — потому что чем меньше дырок, тем больше вирусов

"Потому что" это твой домысел. Дырки закрывать нужно, но это не значит, что вирусов уменьшится.

Майлварщики постоянно изучают систему и вирусов увиличивается со временем, количество дыр не можт остановить этот процесс.

AF>2. бороться с дырками опять же вообще бесполезно — даже если их все закрыть, малварь будет мимикрировать под полезные приложения и с этим абсолютно ничего невозможно поделать

Бороться надо, но нужно понимать, как майлварщики будут обходить дыру.

Вот например, борьба со спамом к чему приввела ? Траффик спама не уменьшился, фильтры его лихо сносят, в почте его относительно мало, зато и нормальные письма пропадают.

Т.е. спам не побороли, а нормальные письма еще и пропадать стали.

Вот такая борьба с дырами не нужна.

Мимикрия как ты назвал это, действительно есть и это надо учитывать.

AF>3. умные люди уже давно продумали все возможные варианты, поэтому сиди и не рыпайся. То, что продукт "умных людей" на редкость крив и убог — вообще не твоего ума дело.

Варианты действительно надо учитывать, а так же на каждый шаг учитывать расход ресурсов.

AF>4. это обойдется очень-очень дорого, потому что весь софт придется целиком переписывать, потому что по другому они не представляют как решить эту задачу, а значит это вообще невозможно

Твоя схема бьёт всех, кроме майлварщиков.

AF>5. обеспечивать безопасность — вообще не задача ОС

Задача не только ОС, но не так как ты хочешь — включил рубильник и всё в ажуре.

Здравствуйте, Sinclair, Вы писали:

S>>>Угу. Осталось посмотреть на настольную ось на основе QNX, дружелюбную для пользователя и прикладного разработчика.
C>>Я примерно тогда пробовал знаменитую QNX Floppy — на один 3.5" диск помещалась ОС с графической оболочкой, поддержка Dial-up и простой браузер (!!). Вот тут скриншоты есть: http://toastytech.com/guis/qnxdemo.html Я пробовал и полную ОС, там у них Photon GUI вполне себе ничего был, наравне с остальными ОС тогда.
S>Прикольно. Что ж она не выжила-то, раз она такая прикольная была? Наверное, были другие недостатки, которых не было у архитектурно ужасной win95.

Кстати говоря, сейчас под Вин95 можно спокойно бровзить по инету. Стек конечно сорвать могут, но до заражения дело вряд ли дойдет, потому что код врусов уже не может выполняться на этой системе.

Здравствуйте, Andrei F., Вы писали:

AF>А ведь про это я уже писал, точно помню Повторю еще раз — те функции, которые позволяют вмешаться в работу других процессов, или передавать данные за пределы компьютера. Всевозможные write process memory, DLL injection, хуки и тому подобное. Пытаться что-то сделать с "дырявыми" функциями — это просто нереально. Только переход на управляемый код, но это винде в ближайшие годы не светит.

Во первых, переход управляемый код как раз таки светит.

Во вторых, "Всевозможные write process memory, DLL injection, хуки и тому подобное" используются повсеместно и настолько широко, что кто то на твоём месте уже повесился бы

В третьих — дырявые функции тоже надо исправлять, потому что через них можно сделать слишком много всякой пакости.

AF>Разграничить доступ к отдельным разделам API на основе правил — это недорого и несложно, по крайней мере для MS. Не сильно сложнее, чем обычный фаервол.

Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею.

Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться.

AF>Ну в общем да, ты меня убедил. Если они нормальный фаервол сделать не могут — нельзя ожидать от них чего-то большего.

Сделать могут. Только с первым же выходом системы с тким файрволом им придется судиться со всеми крупными игроками этого рынка.

Это не линукс, где ты в дистриб можешь складывать все что угодно от говна до брульянтов.

Потому Микрософт делает именно вот такой убогий фаервол, что бы защитить не отрубая рук и при этом не задавить рынок фаерволов.

Возможно ты не в курсе, но в Микрософт планирование на высоком уровне, просчтывают даже возможные судебные иски наперёд.

Здравствуйте, Andrei F., Вы писали:

I>>Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею.
I>>Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться.
I>>Сделать могут. Только с первым же выходом системы с тким файрволом им придется судиться со всеми крупными игроками этого рынка.

AF>Если не ставить most restrictive mode по умолчанию — всё будет работать и ни с кем судиться не придется.

Ты не понял. Если они сделат файрвол по функциональности хотя бы сравнимый с существующими, то тем самым начнут душить рынок и придется судиться.

I>>Потому Микрософт делает именно вот такой убогий фаервол, что бы защитить не отрубая рук и при этом не задавить рынок фаерволов.

AF>Другим производителям это не мешает писать нормальные фаерволы, а "как не задавить конкурентов" M$ всегда интересовало в самую последнюю очередь.

Ага, с точностью до наоборот и ты прав.

AF>Ты полный идиот или тролль. Изыди, нечистая сила.

Выдыхай.

Здравствуйте, Andrei F., Вы писали:

AF>Почему они этого не сделали?

То, о чем ты пишешь называется "мандатное (принудительное, обязательное) управление доступом". И, начиная с Vista, в Windows это вполне реализовано посредством Windows Integrity Mechanism:

The integrity level is a representation of the trustworthiness of running application processes and objects, such as files created by the application. The integrity mechanism provides the ability for resource managers, such as the file system, to use pre-defined policies that block processes of lower integrity, or lower trustworthiness, from reading or modifying objects of higher integrity. The integrity mechanism allows the Windows security model to enforce new access control restrictions that cannot be defined by granting user or group permissions in access control lists (ACLs).

И?

Здравствуйте, Mamut, Вы писали:

Это всё суета и неважно. Можно долго придумывать и решать заковырки, но это ничего не даст.
Моя основная идея проста:
Права приложения должны определяться назначением этого приложения, а не тем кто его запускает — как это сделано сейчас.
Здесь будут возражения?

Здравствуйте, Mamut, Вы писали:

M>и который я сохраняю, куда угодно?

Куда угодно — это куда? В c:\windows, что ли?

Здравствуйте, Mamut, Вы писали:

M>То есть, если я напишу, что пишу куда угодно и что угодно (ну, в пределах пользовательской папки), то оно мне разрешит?

Будет работать соответственно правилам которые ты опишешь. И предупреждая твой вопрос: от пользовательской учётной записи это отличается довольно сильно, у пользователя есть пароль для входа, у пользователя есть шелл и много прочих характеристик, мало того это просто неудобно заводить юзера на программу если тебе необходимо что-то необычное (например изредка менять DNS). Есть такая программа rtorrent, она у меня работает на машинке куда я захожу только удалённо, так вот она "демонизирована" с помощью screen, так вот чтоб не запускать её под своим юзером, мне пришлось добавлять для неё отдельного пользователя, и определять домашний каталог и проч., при этом мне надо извращаться с правами и группами чтоб можно было удалять эти файлы и пр. Полагаю с настроенными правилами для аппармора я вполне мог бы запустить его от имени своего юзера. И что удобно, все потребности программы записаны в 1м файле, а не разбросаны по системе в виде юзеров и групп и их свойств.

Здравствуйте, Mamut, Вы писали:


M>То есть ставлю я malicious software, которая делает rm -rf ~/*.*, кладу рядом профиль «разрешить писать/удалять в ~» и что, оно автоматом получит эти права, а при запуске сненсет нафиг все в ~?

Ну так это не защита от malicious software, это уменьшение последствий взлома какого-либо софта. Принцип наименьших привелегий.

M>Это удобно, бесспорно. Надеюсь, управление этим все же полегче, чем в SELinux'e?

Ну Ноувел зачем-то разрабатывает — . По идее потому что именно проще, хотя там есть ряд ограничений связанных с ФС, допустим АппАрмор не сможет отличить хардлинк от самого файла.

Вот тебе готовое решение (и бесплатное, по крайней мере пока): OSSS: Security Suite v0.9 Beta

Кроме того, это ещё и фаервол

Скриншоты:




(Щелкнуть по картинке для увеличения)

• Изменения в v0.9 Beta
  
• Список известных проблем и функций, невошедших в релиз (v0.8; еще не обновлен)
  
• Общие рекомендации и помощь по использованию Online Solutions Security Suite
  
• Последняя информация о версии, предупреждение о бета-версии
  
• Скачать OSSS v0.9 Beta

... В следующей версии (перечислю только некоторые изменения) — русский язык, значительно уменьшено количество запросов к пользователю (за счёт улучшенных пресетов), улучшенный внешний вид и usability окон запросов. Выход обновления ожидается в течении 1-2 месяцев.

Здравствуйте, Mamut, Вы писали:



DOO>> И вообще, Мамут, с чем ты споришь? Проактивная защита это давно уже серьезный рынок — значит, рано или поздно, MS что-то и включит в состав ОС, просто это, как всегда, будет настолько ограниченное по функционалу решение, что чаще всего будет требоваться приобретение отдельного продукта.

M>Я не спорю с самой идеей такой хащиты. Я спорю с Андреем Ф., который размахивает лозунгами и кричит, что МС — идиоты, что такую простую фичу не реализовали, мы все тупые, и не понимаем, насколько это просто. Это ведь совсем непросто, согласись
А простого вообще ничего нет... Посмотрим на тот же Windows Firewall — никакой защиты от заражения приложения (а вот Symantec, по-моему, это отследит) — вообще никаких механизмов по строгой идентификации приложения, кому трафик принадлежит.

Потом эта дыра с BITS'ом — в висте ведь так и не исправили...
А современный вирус, например, запросто прописывает себя в исключения Windows Firewall...

А потом еще выясняется, что использование библиотек типа WinPcap вообще обходит МЭ...

Короче в любой ерунде проблем можно найти выше крыши...

Здравствуйте, DOOM, Вы писали:
DOO>Отличать интерактивную операцию от неинтерактивной
На уровне оси вообще нет никаких "интерактивных" операций.
Вообще с этим — самые большие проблемы. Всё это уже не раз обдумывалось и обсуждалось умными людьми. Пока что — даже CAS не даёт 100% гарантии, и даже при правильном его применении. Всегда остаётся дырка для лома социальной инженерии.

Тем, кто тут думает, что "технически это всё очень просто", рекомендую помедитировать над примером из мира браузеров.
Теоретически, всё в порядке — скрипт не имеет прямого доступа к файлухе, записать напрямую в input type=file невозможно, задача решена. То есть браузер может отправить только тот файл, который был вручную указан пользователем. Через это мы имеем геморрой с multiple file upload, ну да ладно — ради безопасности можно простить издевательства над пользователями.

Однако хитрые хлопцы показывали пример мата в два хода: сначала скрипт пишет путь к нужному файлу в клипборд, а потом в нужный момент делает ловкий paste в input type=file. В итоге пользователь отправляет совсем не тот файл, который он думал. Немного соц. инженерии — и малишс страничка готова; пользователи сабмиттят свои файлы от ms money бешеными темпами.

Здравствуйте, Andrei F., Вы писали:
AF>Это уже более сложный случай, который встречается не так часто.
Он встречается чаще, чем все остальные вместе взятые. Достаточно вспомнить про то, что сейчас браузер — самое заскриптованное приложение. А так же про то, что большинство червей были написаны на VBScript.
AF>Решение — выполнить скрипт в отдельном процессе с пониженными правами.
А как этот скрипт будет взаимодействовать с объектами основного приложения? IPC — штука дорогая. Предлагаешь сделать так, чтобы всё вообще тормозило?
Разумное решение потребует пересмотра всей архитектуры ОС.

То, что ты предлагаешь, будет всего лишь осложнять жизнь законопослушным приложениям и их пользователям. Не имеет значения, сколько ворот ты заставишь пройти честного пользователя, если для злоумышленника есть дыра в заборе.

А самое поганое — в том, что даже Singularity не даёт никакой гарантии защиты. Будут ломать путем мимикрии. И ты сам, лично выдашь доступ злому приложению к твоим данным. Вон, с год назад пробегал вирус. Который всего лишь показывал пользователям диалог "Легальность вашей копии Windows под сомнением. Пожалуйста, отправьте СМС на номер .... для повторной активации по телефону". И ведь отправляли — никаких проблем. Как же, там же виндовс лого вверху нарисовано, как не поверить-то?

Учись думать головой. Было бы простое решение — применили бы. Вон, в Vista/Win7 понапридумывали много всякой дорогостоящей ерунды. А "простое разграничение на уровне процессов" типа придумать не смогли? Хаха.

Здравствуйте, Sinclair, Вы писали:

Pzz>>Ну очевидно же, надо вынести сам диалог в отдельный процесс, сведя функцию OpenFileDialog() к коммуникации с этим процессом.
S>Капитан Очевидность?
S>На досуге можно еще продумать, каким образом это будет работать без перекомпиляции всех существующих программ.
S>Еще раз намекну на то, что полная модель безопасности, о которой идет речь, была предложена еще черти когда. Увы — она плохо совместима с легаси кодом под виндой.

Слушайте, я прекрасно понимаю трудности внедрения такого рода вещей. Но думать и говорить о них интересно. В т.ч., с точки зрения програмной архитектуры. Заметьте притом, вопросы внедрения и вопросы реализации ортогональны, и не надо их смешивать в одну кучу.

А без таких размышлений, как вы разомнете свой мозг в области софтверной архитектуры? Если бы все боялись нового, как бы вообще развивалась компьютерная отрасль?

Да, и давайте обойдемся без личных наездов. Честное слово, ну не интересно мне пиписьками мериться, слишком уж предсказуемым получается разговор...

Здравствуйте, DOOM, Вы писали:
S>>Потому что с точки зрения пользователя, TortoiseSVN будет в точности таким же. Независимо от интеллекта пользователя.
DOO>Зависимо. Нормальный пользователь возьмет Tortoise либо с сайта производителя, либо с корпоративного файлового сервера.
Нормальный пользователь не знает название производителя. Ну-ка, навскидку, кто его делает? Пользователь будет гуглить, и возьмет первое, что похоже на правду.

DOO>Про анализ стека почитал... Слишком тяжеловато, ИМХО, но для платформы, в которой можно менять все на лету, возможно, это единственный способ.
Это единственный способ для любой платформы. Я уже и так и эдак намекал, что у кода, загруженного в процесс из кошерных DLL, может и должно быть больше привилегий, чем у "прикладного" кода.
Просто в неуправляемом случае применение этого способа сильно затруднено.

DOO>Поднять планку для малварщика это тоже достижение
Я не согласен. Это как с DRM — вложили пять миллиардов долларов в защиту HD-DVD, и ее сломали через месяц после выхода. Вопрос: кто победил? Точнее, вопрос в том, кто проиграл — явно законные пользователи, у которых регулярно неиграет легально купленный контент. Ну и нахрена нам, Илюша, такие разборки (с) народ?

DOO>Проактивная защита, на самом деле, должна защитить только от zero-day атак — дальше есть стандартные средства сигнатурного анализа, антифишинга и т.д. и т.п.
DOO>Безопасность — это не продукт, а процесс.
Угу.

Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?
Для файлов *.scr — вообще никаких прав, кроме вывода на экран?
Почему они этого не сделали?

Здравствуйте, criosray, Вы писали:

C>В частности, обычному пользователю запрещено писать или изменять что-то в Program Files.

Я говорил не про пользователя, а конкретную программу. Чувствуете разницу?

Здравствуйте, criosray, Вы писали:

C>Нет, не чувствую. Программы выполняются под пользователем. Не знали об этом?

Клиент-ICQ не должен иметь никаких дисковых прав, кроме права писать в свою подпапку в Documents. И даже если его вдруг запустили под админским аккаунтом — он и у админа остается тем же клиентом-ICQ, выполняет те же функции и никаких дополнительных прав иметь не должен. Доступно?

Здравствуйте, Andrei F., Вы писали:

C>>Нет, не чувствую. Программы выполняются под пользователем. Не знали об этом?

AF>Клиент-ICQ не должен иметь никаких дисковых прав, кроме права писать в свою подпапку в Documents. И даже если его вдруг запустили под админским аккаунтом — он и у админа остается тем же клиентом-ICQ, выполняет те же функции и никаких дополнительных прав иметь не должен. Доступно?

Замечательно. А теперь расскажите пожалуйста каким образом ОС узнает о том какой программе надо разрешать писать на диск, а какой — запрещать. Внимательно слушаю.

AF> C>Замечательно. А теперь расскажите пожалуйста каким образом ОС узнает о том какой программе надо разрешать писать на диск, а какой — запрещать. Внимательно слушаю.

AF> Не просто на диск, а в какие места диска. Например, запись в системные папки — по умолчанию перекрыть для всех non-system приложений.

То есть по банальной принадлежности этого приложения к тому или иному пользователю.

AF> На основании таких признаков, как
AF> 1. Установлено ли приложение в систему по всем правилам, или это, к примеру, скачанный из инета файл

Неверный признак. Например, Google CHrome — это просто скачаный с инета файл, но является нормальным приложением

AF> 2. Правила, заданные пользователем

О да. Хотел бы я на это посмотреть.

AF> По сути — это то же самое что фаервол, только ограничивает доступ не к удаленным, а к локальным ресурсам.

AF> Еще вопросы?

А что, есть ОСи, в которых это реализовано? Или это просто «хачу, шобы МС так сделал»?

Здравствуйте, Andrei F., Вы писали:


G>>Угу. А теперь придумай способ гарантированного определения программы.
G>>Особенно из глубин kernel32.dll.

AF>Есть какие-то проблемы определить — из какого файла запущен процесс?

Ну определили. Дальше что с этой информацией делать?

AF> M>Расширение файлов я последний раз видел хз, в прошлом году, наверное
AF> Ппц. То есть никаких расширений нет, если ты их не видишь?

Их может и не быть. Но при этом файл останется определенного типа. Или ты уверен, что именно расширение определяет тип файла?

AF> M>1. Возьмем банальное приложение — Adobe Photoshop. Едиинственное ограничение для него — это не писать в системные папки. А так — куда хочу, туда и сохраняю

AF> Сохранять — ради бога.

Ну вот — фотошопу — ради бога, а не фотошопу — не ради бога В итоге польователь просто плюнет и скажет allow all для всех приложений.

Потому что в такм п*деце разбираться никто никогда не будет:



Не говоря уже о том, что существующие приложения нужно будет серьезно измнять, чтобы регистрироваться в этой системе


AF> Но удалять doc файлы ему совершенно ни к чему, например.

Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.

AF> Равно как пытаться лезть в отладочный API

Это уже относится к способу организации памяти и доступности этго API в системе. Этонемного дургая область

AF> и делать много других грязных делишек.

Например —

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Если бы это работало из коробки, то оно бы поломало обратную совместимость с кучей как сторонних приложений, так и приложений самих MS.

AF>Можно сделать ограничения так, чтобы не ломало.

Сделай.

AF>Пользы от этой технологии — с гулькин нос

Аргументы?

AF> Да какая разница вообще?? Значит — правилу надо проверять не расширение, а тип файла. В чем ты здесь проблему нашел?

О, хорошо. Хоть здесь ты пошел на уступки, что надо не по расширению, а по типу файлов Что произойдет, когда приложние научится читать новый тип файлов?

AF> M>Потому что в такм п*деце разбираться никто никогда не будет:
AF> predefined rules для известных приложений спасут отца российской демократии. Некоторые фаерволы так и делают.

Опиши пример predefined rule для того же Фотошопа, например

AF> M>Не говоря уже о том, что существующие приложения нужно будет серьезно измнять, чтобы регистрироваться в этой системе

AF> никакие изменения в приложениях не нужны

Ага. Система сама узнает о нетривиальных возможностях приложения. Не говоря уже о взаимодействии прилоежний


AF> AF>> Но удалять doc файлы ему совершенно ни к чему, например.

AF> M>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.

AF> Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.

Но операцию я произвожу из Фотошопа, не? То есть этот диалог производится в контексте безопасности Фотошопа

Продолжим дальше. Что делать с браузером? Он-то сможет удалить любой файл — мало ли что я там качаю с инета и мало ли куда я что схораняю.

AF> M>Например —
AF> Чукча не читатель?

Да ты особо примеров и не приводишь

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Я не использую selinux и apparmor. Подозреваю, что не я один. Значит ли это, что они бестолковые?

AF>А "Windows Integrity Mechanism" вообще кто-нибудь использует?

Опять-таки — я

Здравствуйте, Andrei F., Вы писали:

I>>Во первых, любая защита преодолевается при наличии должного интереса.
I>>Т.е. задача "щит и меч" не имеет решения в общем случае.

AF>Нормального качества защита ломается достаточно долго, чтобы ломающий за%;№ся и бросил.

Я так и думал, ты "решил" задачу "щит и меч". Поздравляю.

Сейчас уже ломаются сервера Windows Update со вполне понятными целями.

Твоя идея уже устарела.

Кроме того, сейчас практически незачем искать уязвимости в программах вроде инсталеров.

+Всякий мусор, пиратские сборки, сервиспаки и тд и тд.

Здравствуйте, Andrei F., Вы писали:

AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению?
AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран?
AF>Почему они этого не сделали?

Желание сидеть под админом и не париться? Типа, хочу, что бы у меня все было и мне за это ничего не было. Так не бывает.

Здравствуйте, Mamut, Вы писали:

I>> В четвертых, сейчас уже поздно чтото радикально менять в этом плане.

M>Ну пока МС идет в сторону разграничения прав a la *nix. Это уже намного лучше, чем ничего

ню-ню.

Взять вот ни много ни мало, а офис + интернет эксплорер + медиаплейер.

Все это рубит нахрен идеи предложеные Andrei.F, поскольку браузер наиболее уязвим и может сохранять любые типы файлов, во первых, а во вторых может вызывать используя COM вообще все что угодно.

При имеющейся тенденции к интеграции функционала разных программ очень странно заявлять про безопасность путём такого вот ограничения прав — туда писать можно, сюда нельзя и тд.

Для большинства троянов будет достаточно одного только наличия браузера на компьютере пользователя и вся защита на этом закончится.

Здравствуйте, IID, Вы писали:

IID>А причём тут вообще Касперский ?

Не берусь утверждать, что этот термин родился в стенах его конторы, но популяризировался и распиарился он именно оттуда.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Не берусь утверждать, что этот термин родился в стенах его конторы, но популяризировался и распиарился он именно оттуда.

Вполне возможно. Ну тогда назовём это Host Intrusion Prevention Systems — HIPS

Здравствуйте, Andrei F., Вы писали:

AF>Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.

Гы гы. Стандартный диалог еще умеет Cut/Paste делать. В итоге приложение photoshop не имеет права писать в системную папочку, а вот диалог save имеет такое право, ну а так как этот диалог находится в процессе photoshop, то при нужном старании может и photoshop.

Здравствуйте, vladimir.vladimirovich, Вы писали:

VV>при этом зловредные приложения будут регистрироваться получая все нужные привилегии себе, например хотя бы спросив пользователя разрешает ли он так зарегистрироваться и ждать что по теории вероятности из двух кнопок "Да" и "Нет" чуть меньше половины пользователей будет выбирать "Да".

VV>Ну либо Microsoft должен сделать что-то вроде iPhone-овского iStore и разрешать устанавливать/запускать только приложения, на которые они дали свое благословение. .

Придётся в обязательном порядке отрубать руки поьлзователям.

Захотел чтото скачать — разрешить только в папку откуда нельзя ничего запустить и даже открыть нельзя оттуда.

Потом под правами рута зайти, инсталировать оттуда нечто или файло скопировать в нужные папка.

Обновления точно так же — сначала скачал и только под рутом в другой сессии обновляешь.

Ну и АПИ изменить так, что бы никому и в голову не пришло это дело автоматизировать, что бы пользователь обязательно думал про безопасность и контролировал процесс.

Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.

Здравствуйте, dr.Chaos, Вы писали:

DC>Здравствуйте, Ikemefula, Вы писали:

I>>Не существует ни одной защиты, которая бы работала без отрубания рук пользователям.

DC>Здравствуй Капитан Очевидность! Может тогда нахер всю безопасность?

Почему же нахер. Просто нужно помнить это.

DC>Это для хоум юзера побоку вся эта безопасность, а вот корпоративному сегменту, вся эта безопасность ой как нужна, для них, собственно, ноувелл и делал аппармор.

DC>Кроме того профили софта позволяют уменьшить последствия взлома браузера, например.

Это когда маленькая группа пользователей использует такой браузер.

А когда этой защитой начнут пользоваться массово, это уже совсем другое дело,

защиту можно отключить, обойти, работать непосредственно в контексте браузера, использовать фактор пользователя.

А количество пользователй определяет качество технологии взлома.

Чем больше пользователей использует конкретную защиту, тем лучше будет отработана тхнология взлома и тем сильнее можно причинть ущерб конкретному пользователю.


DC>Но от действий установленной малвари это не спасёт, от малвари защищаются совершенно другими методами. Основная причина появления SELinux и AppArmor'а

Это пока бабка надвое сказала. Аппармор и селинукс спасает правило Неуловимого Джо из за того, что интерес ко взломм в этом сегменте много ниже чем других.

DC> Собственно чем бы от этого стало хуже винде и её пользователям для меня загадка.

Ты сравниваешь сегменты которые отличаются масштабом на порядок минимум. Контингент совершенно разный.

DC>Ведь необязательно писать эти профайлы для каждой софтины. Ну кто, простите меня, будет пытаться использовать уязвимости слабо распространённой программы? Достаточно таких профилей для системных сервисов, всяких браузеров и, возможно, оффисов. И написать в каких-нибудь гайдлайнах что это кошерный способ сказать что ваше приложение секурно.

Масштаб сегмента определяет степень интереса взломщиков к нему. Чем больше сегмент, тем сильнее интерес. Хорошо защищаются только частные случаи.

Интерес на виндовс-платформе настолько высокий, что ломаются даж сервера обновлений.

Ты это почему то не хочешь учитывать.

Один взлом и вся твоя мега защита в попе.

Будешь вести черные списки серверов — будут ломать и такие сервера

Сейчас например для заражения пользователей используют заражение серверов, причем линуксовых.

Здравствуйте, dr.Chaos, Вы писали:


DC>Знаешь, от того что ты в очередной раз повторил кучу банальностей ценность AppArmor'а и SELinux'а не изменилась,

Да, банальности. Для чего вводить защиту которая ничего не защищает, не ясно.

Проще и целесообразнее отдать эту защиту на откуп антивирусным компаниям.

DC>из контекста взломанного приложения вредонос уже ничего особого сделать не сможет.

В большинстве случаев хватит этого самого контекста и человеческого фактора.

DC>От взлома серверов обновления и малвари юзерский комп AppArmor не может, по одной простой причине, он на это не рассчитан. Защита сервера обновлений — это дело того кто им занимается, а там сам понимаешь совершенно иные требования и возможности.

В том то и дело, что всего то надо изменить цепочку для взлома, что бы взломать компьютеры пользователей.

Пользователей нужно воспитывать, а не заставлять пользовать идеальную мега-защиту.

Здравствуйте, DOOM, Вы писали:

DOO> Наверное из политик, большая часть которых определена производителем и остается только чуток доработать их в каком-нибудь режиме обучения.

Точно. А поскольку вся эта мутотень в основном нужна для защиты от малвари, производитель этой самой малвари о правильной политике уж позаботится

Здравствуйте, dr.Chaos, Вы писали:

DC>Здравствуйте, Ikemefula, Вы писали:

I>>Да, банальности. Для чего вводить защиту которая ничего не защищает, не ясно.
I>>Проще и целесообразнее отдать эту защиту на откуп антивирусным компаниям.

DC>Тогда я тебе ещё раз повторю: эти средства снижают издержки на безопасность и у производителя софта и у пользователей, которым это надо (корпоративный сектор в частности). Давай разверну: большинство антивирей и прочих анти-... используют различные хаки, недокументированные АПИ и пр.

Ничего они ровным счетом не снижают. Микрософт не в состоянии разработать десяток другой защит.

DC>Для них нужен нормальный АПИ, тогда их разработка будет обходится дешевле. Кроме того сами производители софта с удовольствием наклеят на коробочку наклеечку: "Повышенна безопасность" при малых затратах (описать 10-к правил). Ты понимаешь что при наличии таких механизмов снизится стоимость снижения опасности взлома?

Взломы тоже удешевятся. Неужели это не понятно ?

Касперский в свох нтервью говорит очень просто на эту тему.

АПИ надо, но в для качественной работы софта, а не для повышения безопасности.

И про мегабезопасность в системах он же вроде просто как мне кажется объясняет ситуацию.

DC>Ну например, есть страница использующая уязвимость браузера и злоумышленник может выполнять любой код в контексте браузера с правами юзера. И теперь рассмотрим случай когда для браузера настроены политики, писать только в свои ветки реестра, читать только нужные, ограничен запуск чего бы то ни было, всякие вызовы COM и прочего, писать файлы можно. Короче Производитель постарался и настроил так, что права необходимо минимальны. Давай сценарии.

Ну, то есть, ты сразу обрезал процентов 80 того, что сейчас может использовать пользователь. Очень хороший подход.

Корпоративным клиентам проще и дешевле запретить использование IE и в обязательном порядке вводить Фоксы, оперы, сафари, хромы что бы не было одного стандартного или хотя бы доминирующего браузера на контору.

Но и здесь засада, вагон приложений использует IE, как с ними быть ?

Микрософт вложил в интеграцию вагоны денег, и теперь ты хочешь что бы они взяли и разом это похерили ?

Сейчас прокси, антивирусы более-менее нормально справляются и при этом без отрубания рук в виде запрета вызовов COM.

Если сейчас обрезать пользователям эти 80% имеющимися средствами то эффект будт такой ж как у тебя, но без издержек на написание мега-защиты.

I>>Пользователей нужно воспитывать, а не заставлять пользовать идеальную мега-защиту.

DC>О, как . Не ослышался ли я? Кто там говорил про отрубание рук? Лучший метод, видимо, отрубить руки?

Твои предложения это отрубание рук.

Неужели ты думаешь в Микрософте сидят дураки ?

Пользователя понемногу приучают думать про безопасность. Панацеи здесь нет и никогда не будет.

Здравствуйте, Mamut, Вы писали:

M>То есть, если я напишу, что пишу куда угодно и что угодно (ну, в пределах пользовательской папки), то оно мне разрешит?

А от этого помогает другая вещь: в системе должен вестись учет, какие действия были фактически сделаны, кем, и на основе какого разрешения. Тогда если выяснится, что новый вирус заразил миллион компьютеров из-за того, что в описании фотошопа было открыто слишком много прав, то адобу придется как-то извиняться перед публикой. Это не тоже самое, что новый вирус заразил миллион компьютеров непонятно по чьей вине.

Здравствуйте, Mamut, Вы писали:

M>Как мининмум, большАя часть приложений может захотеть сохранить любой файл куда угодно.

Уже писалось, как эта задача решается. Когда приложение открывает диалог "Save As" и пользователь явно выбирает файл, приложение временно получает право на запись в этот файл. Чтобы нельзя было похачить сам диалог сохранения — его можно выполнять в отдельном процессе. Это, кстати, можно сделать без изменения API для пользовательского кода.

Сама технология также может быть реализована без малейшей потери совместимости и переделок API, проблемы могут возникнуть только если неправильно написаны правила для приложения.
По сути, разработчики "проактивных защит" реализуют именно эту идею — Outpost Security по умолчанию запрещает доступ к опасным API, например. Только в отличие от MS им приходится использовать для этого различные хаки, что уменьшает надежность и производительность, и на порядок увеличивает цену разработки.

Но пипл и так хавает, и даже доказывает, что по другому нельзя. Видимо, поэтому никаких движений со стороны MS нет.

Здравствуйте, Pzz, Вы писали:

Pzz>Здравствуйте, Ikemefula, Вы писали:
I>>Как ты будешь проверять, что программа не имеет прав записи куда либо, кроме My Documents или определенных расширений ?
Pzz>В каком смысле? Рассказать, как это технически может быть реализовано?

Ну да, расскажи, что понадобится изменить в АПИ и сколько это нужно будет тестировать и какие последствия это повлечет. от несовместимости до удорожания.

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, Ikemefula, Вы писали:

I>>Предложение AndreiF равносильно предложению поставить во все дома в городе одинаковые замки, с высоким уровнем защиты, дорогие, но одинаковые.

AF>Твоя беда в том, что ты вообще не понимаешь вопрос, который обсуждаешь. Поэтому и аналогия получается неправильная.
AF>Правильная аналогия такая: да, я действительно предлагаю навесить на все дома замки. Только сейчас там замков нет вообще.

Ну да, наверное микрософт каждому юзеру даст уникальную защиту

Здравствуйте, Andrei F., Вы писали:

M>>Как мининмум, большАя часть приложений может захотеть сохранить любой файл куда угодно.

AF>Уже писалось, как эта задача решается. Когда приложение открывает диалог "Save As" и пользователь явно выбирает файл, приложение временно получает право на запись в этот файл. Чтобы нельзя было похачить сам диалог сохранения — его можно выполнять в отдельном процессе. Это, кстати, можно сделать без изменения API для пользовательского кода.

Если нельзя похачить, значит ты обрезаешь на корню возможности этого диалога. Выноси что угодно, куда угодно, кучка програм уже перестанут работать только из за этого.

AF>По сути, разработчики "проактивных защит" реализуют именно эту идею — Outpost Security по умолчанию запрещает доступ к опасным API, например. Только в отличие от MS им приходится использовать для этого различные хаки, что уменьшает надежность и производительность, и на порядок увеличивает цену разработки.

AF>Но пипл и так хавает, и даже доказывает, что по другому нельзя. Видимо, поэтому никаких движений со стороны MS нет.

И не будет. Защит нужно несколько, иначе одна единственная отмычка вскроет сразу все комьютеры. Поэтому целесообразно отдать этот сегмент на откуп конторам занимающимся безопасностью

Встраивать это в Виндовс — идея во первых дорогая, во вторых мало полезная.

Здравствуйте, Sinclair, Вы писали:

S>Для получения аналога CAS нужно иметь гарантию идентифицируемости вызывающего кода. Это серъезная задача, в общем случае не имеющая решения для неуправляемого кода.
S>"Добронравные" приложения проверить будет можно; злонамеренные будут искать способы подменить стек или найти дырки в добронравных, чтобы выполнить свой код от их имени.

Полный аналог не нужен, достаточно идентификации на уровне процесса. Подменить здесь ничего не получится.

Здравствуйте, Andrei F., Вы писали:

AF>Когда диалог закрывается — имя выбранного файла добавляется в список "разрешить доступ к файлам" для этого процесса
М-м. Интересная идея. Осталось придумать, когда этот список очищается, иначе долгоиграющие программы будут быстро падать (напомню на всякий случай, что список должен входить в объекты ядра, чтобы обеспечить защиту от прямых манипуляций из юзермоды).
Ну, а потом, когда решим эту и остальные проблемы с функцией CreateFile, останется повторить процесс проектирования для остальных ~2000 вызовов WinAPI.

AF>Очевидно, что все изменения должны быть внутри ОС.
Очевидно, что спроектировать эти изменения корректным образом крайне тяжело. Утверждающие обратное просто плохо знакомы с матчастью.

Здравствуйте, Andrei F., Вы писали:
AF>Сможет — смотри в другом твоем сообщении.
Пока что ты придумываешь на ходу частные решения на частные проблемы.
Это очень хреновый подход, поскольку он никак не гарантирует того, что нет еще одного вопроса, который тебе просто не задали. Ты просто плохо себе представляешь матчасть.

AF>Если UAC — это лучшее, что они придумали, то не поверю. Потому что UAC — это жутчайшее порождение больного воображения и кривых рук.
Можешь верить во что угодно, включая санта-клауса.

Здравствуйте, Andrei F., Вы писали:

AF>Здравствуйте, Sinclair, Вы писали:

S>>Оба работают в браузере. У них обоих origin — то место, откуда загрузился процесс браузера.

AF>Я не очень хорошо себе представляю, как работают веб-хаки, на защиту от них я собственно и не рассчитывал.

?! А что же по-твоему тогда является основным источником малвари, сажаемой на машины беспечных домохозяек?

Здравствуйте, Sinclair, Вы писали:

S>А самое поганое — в том, что даже Singularity не даёт никакой гарантии защиты. Будут ломать путем мимикрии. И ты сам, лично выдашь доступ злому приложению к твоим данным. Вон, с год назад пробегал вирус. Который всего лишь показывал пользователям диалог "Легальность вашей копии Windows под сомнением. Пожалуйста, отправьте СМС на номер .... для повторной активации по телефону". И ведь отправляли — никаких проблем. Как же, там же виндовс лого вверху нарисовано, как не поверить-то?

Мне кажется, не совсем корректно смешивать атаки технические, и атаки социальные. Защиту пользователя от самого себя сделать невозможно, и не нужно. То есть лох, он и есть лох. Лого виндовс нарисовано, ага... а на заборе х... написано, но там дрова лежат. С другой стороны, почему бы не добавить в task manager функцию, по определению, какой окно какому процессу принадлежит.

S>Учись думать головой. Было бы простое решение — применили бы. Вон, в Vista/Win7 понапридумывали много всякой дорогостоящей ерунды. А "простое разграничение на уровне процессов" типа придумать не смогли? Хаха.

UAC могла бы выдавать более осмысленные вопросы. А сейчас "неизвестно кто, хочет неизвестно чего. разрешить?". Причем, это относится не только к сторонним программам, а и к самой системе.