Здравствуйте, vsb, Вы писали:
vsb>Толку от безопасности этой. Тупые юзеры шифровальщики как скачивали с порносайтов, так и будут скачивать. Им только айфон поможет. Умный я вирусы видел только в теории на любой ОС и все эти усложнения сходу отрубаю: мешают жить! Стандартного линукса без всякого selinux хватает за глаза. Хочется экспериментов — виртуалка. И никак иначе.
В целом -- не распарсил, сорри Но на всякий случай замечу, что SELinux в "стандартный линукс" (если речь идёт о мейнстрим-дистрибутивах) включён уже давным-давно.
Здравствуйте, netch80, Вы писали:
N>Вторая ссылка — просто ROTFL. История с tagWND.strName это вообще "у нас тут YY лет была дырка шириной в Боинг, но мы наконец-то её нашли и даже придумали, как именно заткнуть, чтобы сломать не всё". N>Называть "защитным механизмом" починку того, что должно было работать правильно изначально — извините, это высочайшая наглость. MS не обманул ожиданий, ага.
Хочешь поспорить, перечитай не по диагонали. Речь о наборе средств, позволяющих защитить ОС от эксплуатации любых возможных (в будущем) уязвимостей со схожими техниками эксплуатации. А не об устранении одной или нескольких конкретных уязвимостей. Поэтому да, это защитный механизм.
N>В презентации уже немного более осмысленно. Хотя абстрактно. Защитные механизмы постфактум — не помогут тем, кто уже пострадал, и насколько качественно они работают — неизвестно. Это как вакцинировать только по наступлению эпидемии, хотя вакцина была задолго до.
-- более конкретно о том, что лежит в основе. Что такое "защитный механизм постфактум" не понял. Странно критиковать технологию за то, что она умеет работать только после своего внедрения.
N>Неделю назад на одной из подопечных машин поселился рекламный троянчик. Каждые полчаса — вкладка в браузере с рекламой. Причём браузеры разные (Chrome или IE). Ни один антивирус из полдесятка прогнанных, ни специализированное средство ничего не нашло. Пришлось сдвинуть пользователя в сторону, переименовав (причём система это ещё и нормально не сделала, пришлось дорабатывать руками), создать наново и вытаскивать только известные нужные данные. (Ну да, админских прав троян не достиг — и то спасибо.) Система была со свежайшими обновлениями.
Слишком мало информации. Что дало повод считать, что этом виновата ОС, а не пользователь этого компа, установивший себе эту адварь вместе с очередной читалкой, качалкой, кейгеном, кряком и т.п? Ни одна ОС не спообна защитить пользователя от самого себя. И не должна. Её задача обезопасить своё ядро (с чем в данной ситуации она успешно справилось) и предоставить как приложениям, так и админу системы средства обеспечения безопасности на пользовательском уровне. Кто виноват в том, что ими не воспользовались? Хотя бы ограничения на запуск исполняемых файлов из несистемных каталогов накатывались? У пользователя были права только от Users? На какой уровень был настроен UAC? И т.д.
N>Я знаю, что один случай не показатель. Но читать про "высокую защиту Windows 10" после этого таки смешно. "В разы", ага-ага.
Если пользователь Linux запустит у себя что-то, что запишет в его профиль Chrome рекламное расширение, в этом тоже будет виновата ОС?
N>Защита должна действовать сразу и на месте. С этой точки зрения, удобные механизмы управления пользователем защиты каких-то данных, создания неизменяемых анклавов на диске, грамотного разделения FS по ролям данных, версионируемого бэкапа, причём не в высоких enterprise версиях, а в самых что ни на есть домашних — дали бы значительно больше пользы. Qubes и прочие? Банальный штатный selinux достигает такого (хоть его и не настроит домохозяйка).
Банальный штатный SElinux считай, что не существует, как только будет пробито ядро. Как и любой другой существующий штатный защитный механизм в Linux. В W10 же пробитое ядро ещё не означает, что систему смогли успешно поиметь. Кроме того, к вопросам самостоятельной установки пользователями троянов в рамках своих же прав в системе это не имеет ни какого отношения. Речь идёт о защите системы от эксплуатации в ней неизвестных уязвимостей и предоставления аналогичных средств защиты приложениям пользовательского уровня.
N>Что мешает MS сделать, например, регулярные утренние напоминания "выделите область диска под защищённые данные; пометьте, какие данные для вас настолько важны, чтобы мы делали регулярные бэкапы; у вас есть 1GB на наших серверах, сделайте копирование и туда"?
А мужики-то не знают и вопят где не попадя, как эту хрень отключить: https://www.google.ru/search?q=backup+reminders+windows =/
N>Я знаю, что мешает: деньги. Ведь так удобно зарабатывать дополнительно на том, что должно быть изначально доступно.
Удобно -- вести диалог в общих словах, избегая конкретики. А давай по пунктам: что из той презентации должно было существовать в W10 изначально и почему?
Здравствуйте, BlackEric, Вы писали:
KV>>Сходу не скажу, т.к. не интересовался. Но все основные механизмы защиты в любом случае будут работать и в серверых версиях, полагаю. BE>А телеметрия и прочее?
Здравствуйте, AlexRK, Вы писали:
KV>>Как и при аккуратном вождении. Но на правильный подход способно исчезающе малое количество пользователей. Особенно, среди ИТ'шников и разработчиков, в силу свойственной их профессиям деформации.
ARK>Ну, пока что вот все в норме. Безопасность — это же точная наука, или нечто на нее похожее, не так ли? Что нам сообщает статистика по данному вопросу? Какова процентная вероятность (или диапазон) заражения непропатченной 7 и пропатченной 10? Или у нас тут вопрос веры?
А в вождении тоже руководствуются вопросами веры? А то математики там как-то не видно =/ Навскидку, около 3/4 эксплуатируемых в W7 уязвимостей к выполнению кода (см. ссылку выше в теме) были бы неэксплуатируемы в W10. Для точной оценки нужно рассматривать каждую из тех двух сотен уязвимостей и определять применимость к техникам ее эксплуатации имеющихся в W10 средств защиты. Однако, во-первых, нужная информация по существенному проценту этих уязвимостей есть только у вендора, а во-вторых, мне не настолько важно доказать здесь свою точку зрения
Вот, кстати: https://github.com/CodeMason/aegis-voat , может будет полезно. Если не использовать весь скрипт, то из него хотя бы можно выдернуть список тех обновлений, который нельзя ставить и поставить только те, которые не включают сомнительные с точки зрения privacy фичи. Собственно, это позволит закрыть практически все имеющиеся сейчас в W7 уязвимости.
Здравствуйте, alex_public, Вы писали:
_>Ну т.е. к описанной мною конкретной ситуации по сути ни одна из этих уязвимостей отношения не имеет и единственная надежда инфекции только на дыру в моём Firefox.
В смысле? o_O Всё, что перечислил словами (плюс ещё рендеринг картинок), применимо к эксплуатации в Firefox соответствующих уязвимостей, поскольку он использует эти библиотеки. Ну может, кроме XML, в лисе вроде свой парсер. Часть этих уязвимостей позволяет пробить в т.ч. ядро системы. Ну и дыры в TCP/IP и UDP
Здравствуйте, kochetkov.vladimir, Вы писали:
_>>Ну т.е. к описанной мною конкретной ситуации по сути ни одна из этих уязвимостей отношения не имеет и единственная надежда инфекции только на дыру в моём Firefox. KV>В смысле? o_O Всё, что перечислил словами (плюс ещё рендеринг картинок), применимо к эксплуатации в Firefox соответствующих уязвимостей, поскольку он использует эти библиотеки. Ну может, кроме XML, в лисе вроде свой парсер. Часть этих уязвимостей позволяет пробить в т.ч. ядро системы.
Что за "эти библиотеки"? Рендеринг в Firefox давным давно реализован через DirectX (точнее через ANGLE, а тот уже через DirectX). Всяческие кодеки он тоже таскает сам, а не использует системные. Что там ещё остается то? И кстати в Хроме абсолютно аналогичная ситуация, даже тот же ANGLE используется. )))
KV>Ну и дыры в TCP/IP и UDP
Что-то я не увидел там ничего пригодного для использования сквозь маршрутизатор. Может проглядел конечно, т.к. быстро смотрел)
Здравствуйте, netch80, Вы писали:
N>Банальный штатный selinux достигает такого (хоть его и не настроит домохозяйка).
"Банальный штатный selinux" тоже обходится. Даже параноидально настроенный инженерами гугла под узкие нужды кастрированного устройства (Android).
Как через баги (например с выделением EXEC памяти через AIO с personality READ_IMPLIES_EXEC, selinux перехват в котором был сломан рефакторингом).
Так и через штатные разрешения (например запрет выделения исполняемой памяти обходится разрешением маппить любую пакость из /lib)
А недавняя корова ? Которая просуществовала 9 лет в сорцах, о которой знал ваш главный (Торвальдс), которой селинуксы до лампочки, и которую даже ребёнок способен эксплуатировать. Это ж плюх всего линукс-сообщества мордой в говно с размаху.
Здравствуйте, IID, Вы писали:
IID>Которая просуществовала 9 лет в сорцах, о которой знал ваш главный (Торвальдс)
9 лет -- это в том виде, в котором о ней стало известно в прошлом году. А так, со слов Линуса, он ещё 11 лет назад не смог её полностью пофиксить из-за другого бага и поэтому оставил, сочтя неэксплуатируемой
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А какие точки будут ключевыми для логических domain-specific уязвимостей, утечек по побочным каналам, гонкам и прочим слабоформализуемым классам уязвимостей?
И опять хочется упомянуть Linux, у которого последние пару лет уязвимости с гонками в ядре находятся тоннами. Я уже писал
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А в вождении тоже руководствуются вопросами веры? А то математики там как-то не видно =/ Навскидку, около 3/4 эксплуатируемых в W7 уязвимостей к выполнению кода (см. ссылку выше в теме) были бы неэксплуатируемы в W10. Для точной оценки нужно рассматривать каждую из тех двух сотен уязвимостей и определять применимость к техникам ее эксплуатации имеющихся в W10 средств защиты. Однако, во-первых, нужная информация по существенному проценту этих уязвимостей есть только у вендора, а во-вторых, мне не настолько важно доказать здесь свою точку зрения
KV>Вот, кстати: https://github.com/CodeMason/aegis-voat , может будет полезно. Если не использовать весь скрипт, то из него хотя бы можно выдернуть список тех обновлений, который нельзя ставить и поставить только те, которые не включают сомнительные с точки зрения privacy фичи. Собственно, это позволит закрыть практически все имеющиеся сейчас в W7 уязвимости.
Здравствуйте, Stanislaw K, Вы писали:
SK>Не высмеяли, а улыбнулись. Порадовались что человек наконец то узнал про AMT и IME.
Вот только статья, про которую он писал, была не про сам факт существования IME, а про ряд вполне себе серьёзных исследований, проводившихся с 2009 года по настоящее время, в каждом из которых описывались всё новые и новые техники злонамеренного использования этого хозяйства.
А местные эксперты по безопасности IME настолько суровы, что просто улыбнулись, да.
Здравствуйте, kochetkov.vladimir, Вы писали:
SK>>Не высмеяли, а улыбнулись. Порадовались что человек наконец то узнал про AMT и IME.
KV>Вот только статья, про которую он писал, была не про сам факт существования IME, а про ряд вполне себе серьёзных исследований, проводившихся с 2009 года по настоящее время, в каждом из которых описывались всё новые и новые техники злонамеренного использования этого хозяйства.
Сразу было понятно что эти технологии будут использованы широким кругом желающих в своих интересах. Своим ответом ты закрыл тему и добавлять особо было нечего.
KV>А местные эксперты по безопасности IME настолько суровы, что просто улыбнулись, да.
Здравствуйте, IT, Вы писали:
IT>Здравствуйте, IID, Вы писали:
IID>>Другая крайность — паранойя. Вы уже разбили свои эплы и андроиды ? Нет ?
IT>Это бесполезно. Твои друзья давно сдали тебя со всеми потрохами, внеся твои контакты в свои телефоны и синхронизировав их с гуглем и эплом.
+100500 И удаление из соцсетей не поможет, т.к. кто-нибудь из друзей или родственников все равно фотки с тобой выложит.
Здравствуйте, BlackEric, Вы писали:
IT>>Это бесполезно. Твои друзья давно сдали тебя со всеми потрохами, внеся твои контакты в свои телефоны и синхронизировав их с гуглем и эплом.
Тут мне возразить нечего, к сожалению
BE>+100500 И удаление из соцсетей не поможет, т.к. кто-нибудь из друзей или родственников все равно фотки с тобой выложит.
А тут я схитрил. Меня нет ни в одной соцсети, и не было никогда (фейковые пустые аккаунты для доступа невсчёт).
Здравствуйте, netch80, Вы писали:
N>Имеет. Если есть подозрения, есть что анализировать. История opensource это показывает — хотя были и случаи много лет открытого всем ветрам там, где никто не смотрел, но если возникало подозрение — проверялось всё в конкретной области вдоль и поперёк по многу раз.
Однако поток новонайденных дыр не ослабевает. Опенсорс — штука хорошая, и лично я отношусь к нему с большой симпатией. Но увы, от дыр в безопасности он не является панацеей.
N>На самом деле — просто построить реальный забор, а не его видимость из отдельных мелких кусочков только потому, что слишком много уже проложенных путей (причём без контроля).
Он должен быть таким, чтобы программы, написанные в дозаборную эру, погли и дальше не подозревать о его существовании. Кроме того, у него не должно быть миллиона ручек для человека, иначе человек неприменно ошибется, крутя эти ручки. Кроме того, имплементация не должна добавлять новых дырок. Это все вместе довольно нетривиальная задача.
Здравствуйте, kochetkov.vladimir, Вы писали:
M>>И тут я вдруг вспомнил про Bitlocker
KV>А с ним-то что не так? Вполне себе норм средство для защиты данных от случайной кражи девайса
Не так с ним то, что ключ для восстановления данных отправляется в MS.
Дело в том, что это порождает дополнительные риски даже при просто краже девайса. Во всяком случае, то что отказаться от этой отправки данных нельзя.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Банальный штатный SElinux считай, что не существует, как только будет пробито ядро. Как и любой другой существующий штатный защитный механизм в Linux. В W10 же пробитое ядро ещё не означает, что систему смогли успешно поиметь. Кроме того, к вопросам самостоятельной установки пользователями троянов в рамках своих же прав в системе это не имеет ни какого отношения. Речь идёт о защите системы от эксплуатации в ней неизвестных уязвимостей и предоставления аналогичных средств защиты приложениям пользовательского уровня.
Я похоже отстал от жизни, думал механизм виртуализации применили для прикладного софта. Но в Win10 нынче вся система под гипервизором что ли, что попадание в ring0 не означает поиметия?
Но на всякий случай замечу, что SELinux в "стандартный линукс" (если речь идёт о мейнстрим-дистрибутивах) включён уже давным-давно.
Если нам не помогут, то мы тоже никого не пощадим.
