Здравствуйте, prVovik, Вы писали:

V>Здравствуйте, vayerx, Вы писали:

V>>во-первых, инъекцию кода, мы ведь о ней изначально говорили, еще нужно сделать — открытые дыры есть не везде и приглашение не всегда висит.

V>Чушь. (с)
V>Дальше что?
а аргументровать?

V>>во-вторых, кроме инъекции кода есть масса других способов.
V>И что с того? Это повод не бороться с дырами, так как у vayerx`а есть ссылочка на википедию, где перечислены всевозможные названия атак? :down:
а гдя я говорю, что это повод не бороться? и про "все возможные" способы атак я тоже не говорил, не нужно мне лишнее приписывать

Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, prVovik, Вы писали:

V>>Здравствуйте, vayerx, Вы писали:

V>>>во-первых, инъекцию кода, мы ведь о ней изначально говорили, еще нужно сделать — открытые дыры есть не везде и приглашение не всегда висит.

V>>Чушь. (с)
V>>Дальше что?
V>а аргументровать?

А что аргументировать? Ну да, открытые дыры есть не везде, и что с того? Это повод их делать?

V>а гдя я говорю, что это повод не бороться?

А о чем тогда спор? Вот и kochetkov.vladimir говорит, что надо бороться и обращает внимание, что управляемые среды гарантированно и автоматически защищают от атак такого рода.

Здравствуйте, Pavel Dvorkin, Вы писали:

KV>>Между тем, лучик надежды блеснул гораздо раньше, когда начали появляться интерпретируемые языки. Ведь если интерпретатор выполняет написанный код покомандно, значит он (в теории) имеет возможность полностью контролировать ход выполнения программы и, в случае чего, адекватно отреагировать на попытку обмануть процессор.

PD>Слушай, неужели ты в это всерьез веришь ? Неужели ты не понимаешь, что что бы ты ни делал и на чем бы не писал, в конечном счете работает оычный процесс Windows ? Который вполне можно хакнуть вместе с рантаймом .Net, при этом полностью игнорируя все его внутренние свойства! да, это нелегко будет сделать, придется разбираться во внутренностях .Net, но принципиально это вполне возможно.

Можно ссылки на прецендерты таких хаков? А то я не слышал о таком, интересно почитать.

Здравствуйте, prVovik, Вы писали:

V>А что аргументировать? Ну да, открытые дыры есть не везде, и что с того? Это повод их делать?
нет, не повод. но, во-первых, не-управляемый код не тождественно равен наличию дыр. во-вторых, остутствие дыр не всегда необходимо. в-третьих, управляемый код не защищает от всех дыр — это не панацея.

V>>а гдя я говорю, что это повод не бороться?

V>А о чем тогда спор? Вот и kochetkov.vladimir говорит, что надо бороться и обращает внимание, что управляемые среды гарантированно и автоматически защищают от атак такого рода.
с этим в общем-то я совсем не спорю — да, управляемый код потенциально может защитить от таких дыр. более того, как уже писалось, и мной в том числе, писать на управляемом коде большинство прикладных задач гораздо эффективнее с точки зрения трудозатрат.
вот только управляемый код пока далеко не везде применим, и, соответственно, опусы в духе "на свалку неуправляемый код — пишем все на управляемом" смешны.

Здравствуйте, vayerx, Вы писали:

V>нет, не повод. но, во-первых, не-управляемый код не тождественно равен наличию дыр.

Кто-то утверждал обратное?

V>во-вторых, остутствие дыр не всегда необходимо. в-третьих, управляемый код не защищает от всех дыр — это не панацея.

Кто-то утверждал обратное?
V>вот только управляемый код пока далеко не везде применим, и, соответственно, опусы в духе "на свалку неуправляемый код — пишем все на управляемом" смешны.
Имхо, такие опусы существуют лишь в твоём воображении. Во всяком случае, к этому топику они не имеют никакого отношения.

Здравствуйте, prVovik, Вы писали:

V>Здравствуйте, vayerx, Вы писали:

V>>нет, не повод. но, во-первых, не-управляемый код не тождественно равен наличию дыр.
V>Кто-то утверждал обратное?
ты. фразой "то повод их (дыры) делать?"

V>>во-вторых, остутствие дыр не всегда необходимо. в-третьих, управляемый код не защищает от всех дыр — это не панацея.
V>Кто-то утверждал обратное?
имхо, утверждал в первую очеред топикстартер, написав о бухтящих и хромающих Нео, представляющих не-управляемые языки. в то время как управляемые языки по мненинию того же топикстартера должны были привести к "празднику там, всеобщему ликованию, фейрверкам и воздушным шарикам".

V>>вот только управляемый код пока далеко не везде применим, и, соответственно, опусы в духе "на свалку неуправляемый код — пишем все на управляемом" смешны.
V>Имхо, такие опусы существуют лишь в твоём воображении. Во всяком случае, к этому топику они не имеют никакого отношения.
и какой же, в твоем понимании, основной смысл данного опуса?

Здравствуйте, Andir, Вы писали:

A>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Как "краевед" хочу отметить, что атаки инсайдеров на интранет-системы, по крайней мере в нашей компании, случаются не реже чем атаки аутсайдеров на интернет-системы

A>Сказочки, либо "краеведный" отдел откровенно мается фигнёй.

Ну раз Andir сказал, что сказочки, значит сказочки. Иди фигней маемся, ему виднее

Аргументы будут?

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Между тем, лучик надежды блеснул гораздо раньше, когда начали появляться интерпретируемые языки. Ведь если интерпретатор выполняет написанный код покомандно, значит он (в теории) имеет возможность полностью контролировать ход выполнения программы и, в случае чего, адекватно отреагировать на попытку обмануть процессор.

PD>Слушай, неужели ты в это всерьез веришь ? Неужели ты не понимаешь, что что бы ты ни делал и на чем бы не писал, в конечном счете работает оычный процесс Windows ? Который вполне можно хакнуть вместе с рантаймом .Net, при этом полностью игнорируя все его внутренние свойства! да, это нелегко будет сделать, придется разбираться во внутренностях .Net, но принципиально это вполне возможно.

Два момента:

1. Если и можно будет хакнуть (а если бы это было так просто, то прецеденты бы уже давно были известны), то только благодаря наличию в данной цепочке неуправляемого кода, о чем я тут всю тему и твержу. На случай, если возникнут иллюзии, что весь код (и ОС и рантайма) не может быть верифицированным, стоит внимательно изучить архитектуру singularity.

Но что еще более важно:

2. В случае с управляемыми платформами, ответственность за устранение уязвимостей, обусловленных архитектурой фон-Неймана берут на себя ее разработчики, избавляя тем самым от этой возни разработчиков приложения. Хочу заметить, что разработчиками данной платформы являются отнюдь не студенты трех месяцев выпуска, а достаточно серьезная компания, вкладывающая в безопасность своих продуктов огромные деньги, средства и ресурсы. И заинтересованная в том, чтобы их продукт, позиционирующийся как в т.ч. "матрица" для аппаратной архитектуры в плане безопасности, был реально безопасен. Вам известно много случаев обнаружения и/или эксплуатации уязвимостей нулевого дня в рантайме дотнета?

Наивно полагать, что в общем случае, разработчик приложения сможет организовать меры по обеспечению ИБ ХОТЯ БЫ на таком же уровне, на котором это делает данная конкретная "серьезная компания". Тем более, что ему и так есть чем заняться, помимо обеспечения безопасности своего продукта.

Не менее наивно полагать, что (например) среднестатический LAMP-разработчик в состоянии обеспечить хотя 1/10 тех мер безопаности, которую за него ему обеспечили разработчики php/perl/python, mysql, apache с mod_security и используемого дистрибутива linux. Когда же речь заходит об аналогичных мерах от MS это почему-то вызвает эффект красной тряпки

KV>>Так и ковыляют они и по сей день, искалеченные, хмурые, с вросшими костылями под мышками, и бухтят, бухтят, бухтят... И поняли люди, что не излечить их, и что нужно просто дождаться их есстественного вымирания,

PD>А дай — кось я допишу. Но не в виде сказки, а в виде притчи.

Одно не совпадает, по моей версии, горстка Нео с Морфеусами таки-не вымерла :-Р

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>А почему многие считают, что незащищенный код == рабочий код?

Наверное, потому что этот код работает.

Здравствуйте, Andir, Вы писали:

A>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Как "краевед" хочу отметить, что атаки инсайдеров на интранет-системы, по крайней мере в нашей компании, случаются не реже чем атаки аутсайдеров на интернет-системы

A>Сказочки, либо "краеведный" отдел откровенно мается фигнёй.

Ты меня практически обидел сейчас Я смотрю на статистику нашей IDS и антивируса за последние 6 месяцев и не могу понять, откуда ты сделал такой вывод. Количество вирусных атак на периметр и на внутренние системы — примерно одинаковое. Сканирований портов серверных систем: чуть больше снаружи, чем изнутри. Сетевых атак различных классов — изнутри больше, но это обусловлено еще и вирусными атаками. Атак на внешние веб-сервера на треть больше, чем на внутренние, таки да. В целом, срабатываний IDS на внешних и внутренних серверах — несколько сотен за пол-года, с разницей в пару десятков. Я не имею права назвать конкретные цифры, к сожалению

По каждой зафиксированной атаке мы проводим расследование и готовим отчеты о принятых контрмерах, потенциальном ущербе, фактическом ущербе и т.п. Успешных атак (повлекших за собой ущерб) за рассматриваемый период не было. Так почему мы по-твоему маемся фигней?

Здравствуйте, Геннадий Васильев, Вы писали:

ГВ>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>А почему многие считают, что незащищенный код == рабочий код?

ГВ>Наверное, потому что этот код работает.

Ровно до тех пор, пока ему не передали на вход то, что там совсем не ожидалось. Или тут схема "пока петух в ж не клюнет..."?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Успешных атак (повлекших за собой ущерб) за рассматриваемый период не было.

либо вы о них не знаете

Здравствуйте, vayerx, Вы писали:

V>Здравствуйте, prVovik, Вы писали:

V>>Здравствуйте, vayerx, Вы писали:

V>>>нет, не повод. но, во-первых, не-управляемый код не тождественно равен наличию дыр.
V>>Кто-то утверждал обратное?
V>ты. фразой "то повод их (дыры) делать?"

Ок, согласен поменять фразу на: "Это повод ходить по минному полю, надеясь, что пронесет?"

V>>>во-вторых, остутствие дыр не всегда необходимо. в-третьих, управляемый код не защищает от всех дыр — это не панацея.
V>>Кто-то утверждал обратное?
V>имхо, утверждал в первую очеред топикстартер, написав о бухтящих и хромающих Нео, представляющих не-управляемые языки. в то время как управляемые языки по мненинию того же топикстартера должны были привести к "празднику там, всеобщему ликованию, фейрверкам и воздушным шарикам".

Речь шла конкретно об эксплоитах. Да, .NET не решит проблему глобального потепления и с борьбой против всемирного империализма он тоже не поможет.

V>и какой же, в твоем понимании, основной смысл данного опуса?
Чем меньше дыр, тем лучше

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ровно до тех пор, пока ему не передали на вход то, что там совсем не ожидалось. Или тут схема "пока петух в ж не клюнет..."?

схема петуха сработает и с управляемым кодом (в смысле выполнения основной задачи). а защищать все подряд от "хацкеров" — в общем случае, излишне.


V>>хотя бы отсюда: http://en.wikipedia.org/wiki/Category:Security_exploits
KV>Ну и какие из них несут более высокие риски, нежели инъекция бинарного кода? Учитывая, что навскидку, треть из перечисленных там — это как раз всевозможные варианты бинарных инъекций и есть.

собственно, оставшиеся две трети =)
ну а если серьезно, то "более высокие риски" — сферическое понятие. его стоит разделить, как минимум, на сложность взлома, потенциальный причиняемый урон.
начнем с "банального" sql injection — никак не зависит от архитектуры фон-Неймана. реализация значительно проще code injection. в случае успеха атаки утечка данных может быть практически максимальной. code injection, конечно, может принести чуть больший ущерб, кражи той же самой клиентской приватной информации может оказаться вполне достаточной для банкротсва компании, особенно на начальной стадии ее развития.

password cracking — никак не зависит от архитектуры фон-Неймана. регулярное явление. если на сервере нужен внешний ssh, управляемый код не поможет.

и т.д.


V>>1. "уронить сервер" — это потенциально огромные финасовые потери.
KV>А "оставить в сервере закладку и взять его под контроль" — это еще большие риски, т.к. с использованием данной закладки на сервер может осуществляться и DoS атаки в том числе.

чтобы оставить на "сервере закладку" именно code injection не обязателен.


V>>во-вторых, на *nix эта фича .net уже портированна?
KV>да
V>>а на C64?
KV>хз, к чему этот вопрос?

вопрос к портируемости.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, minorlogic, Вы писали:

M>>А вы подумайте ? я даже не знаю какой класс приложений вы пишите где так важна защита от злоумышленника.

KV>Я считаю, что такому классу приложений как виндовый калькулятор — уже важна защита от злоумышленника Более того, ведущие эксперты по информационной безопасности это мнение разделяют (точнее, это я его разделяю с ними )

Ну в этом я ничем вам помочь не могу. К сожалению "виндовый калькулятор" можно менять как заблагорассудиться, и скорее пускай этим занимается система безопасности операционной системы. Я не говорю что это хорошо , я говорю что калькулятор в том виде в котором существует, неплохо решает поставленные задачи.

M>>Я например разрабатываю программы которые направленны на работу с добросовестным пользователем. А попытки неправильного использования не рассматриваются как use case

KV>Вы готовы поговорить тут об этом (ваших программах и решаемых ими задачах) подробнее?
Нет ни малейшего желания, но на всякий случай я не педалю "web придожения", а занимаюсь наукоемкими тяжелыми вычислениями.

Здравствуйте, prVovik, Вы писали:

V>Здравствуйте, vayerx, Вы писали:

V>>>>нет, не повод. но, во-первых, не-управляемый код не тождественно равен наличию дыр.
V>>>Кто-то утверждал обратное?
V>>ты. фразой "то повод их (дыры) делать?"
V>Ок, согласен поменять фразу на: "Это повод ходить по минному полю, надеясь, что пронесет?"
это должно было как-то глобально поменять ее смысл? почему ты полагаешь, что управляемый язык — это не минное поле? точно такое же минное, но с извлеченной каждой десятой/сотой/etc миной.

V>>>>во-вторых, остутствие дыр не всегда необходимо. в-третьих, управляемый код не защищает от всех дыр — это не панацея.
V>>>Кто-то утверждал обратное?
V>>имхо, утверждал в первую очеред топикстартер, написав о бухтящих и хромающих Нео, представляющих не-управляемые языки. в то время как управляемые языки по мненинию того же топикстартера должны были привести к "празднику там, всеобщему ликованию, фейрверкам и воздушным шарикам".

V>Речь шла конкретно об эксплоитах.
речь шла конкретно об эксплоитах, реализованных через инъекцию кода.

V>>и какой же, в твоем понимании, основной смысл данного опуса?
V>Чем меньше дыр, тем лучше :)))
а в твоем понимании не-управляемые языки — это больше или меньше дыр? а управляемые?

Здравствуйте, Lloyd, Вы писали:

L>Можно ссылки на прецендерты таких хаков? А то я не слышал о таком, интересно почитать.

Для Java Google выдает достаточно примеров. Хотя бы: http://www.internetnews.com/security/article.php/3654671

Для .NET так же есть. Вот: http://www.networkworld.com/news/2007/071307-net-vulnerability-bytes-web.html

Читать забавно:

Security consultant and researcher at Security-Assessment.com Matthew Strahan said a filename which contains a null byte in the .Net environment can launch a Null byte injection attack which allows servers to be fully compromised.

He said a flaw exists in an upload file code when the .Net Common Language Runtime (CLR) considers Null bytes as data to directly call a native C function call.

Поскольку никакая мейнстримовая управляемая среда на работает на голом железе, то появляется возможность добить ее с помощью нативного кода.

Но больше настораживает вот это:

Steps have finally been taken by Microsoft to protect millions of exposed networks vulnerable to a .Net exploit that was first discovered nine months ago.

During that time many customers were not only left in the dark, but left dangerously exposed by the vulnerability which was a null byte exploit.

Т.е. корпорации, на потенциал которой здесь так уповают, было проще в течении 9-ти месяцев молчать и не выпускать патч.

Здравствуйте, Aikin, Вы писали:

A>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Рассказать, почему при разработке 100%-го аналога виндового калькулятора необходимо озаботиться вопросами отсутствия в нем уязвимостей?
A>Было бы интересно

Виндовый калькулятор принимает входные данные не только через нажатия на кнопки, но и вставкой строки из буфера обмена (в режиме инженерного калькулятора). Попробуйте скопировать и вставить в него что-нибудь типа:

(3+2*13!-3^4):m:q

:m — это команда занесения результата вычислений в память
:q — комадна сброса всех изменений

Поэтому внешне изменений не будет, но если нажать на "MR", то из памяти калькулятора в строку ввода выведется результат этих вычислений. Это говорит о двух вещах:

1. В виндовом калькуляторе есть парсер арифметических выражений, причем не самый тривиальный.
2. Теоретически, данный парсер может быть уязвим к атакам на переполнение буфера, если в его реализации допущены ошибки.

Предположим, что мы обнаружили такую ошибку и теперь знаем, что если вставить в поле для вычислений строку, начинающуюся с точки и длиной не менее 64 байт, то тем самым, мы переполним буфер калькулятора и передадим управление в середину нашей строки. После этого мы подготовим эксплоит состоящий из точки и 63 символов, чей ASCII-код обозначает какую-нибудь незначимую операцию. Затем прицепим к нему шеллкод который будет забирать свое тело с заранее подготовленного нами веб-сервера простейшим TFTP и запускать его (можно взять готовый с metasploit). Тело в свою очередь будет периодически забирать команды для себя с того же сервера таким же простым http-запросом и выводить при своем запуске картинку анфаса Гейтса с размазанным по нему тортом. Эксплоит + шеллкод будет выглядеть как ASCII-строка, длиной 400-500 символом максимум. Тело может быть и бинарным, с учетом картинки будет весить несколько килобайт.

После этого, мы идем в "Коллеги улыбнитесь" и еще на десяток подобных ресурсов и постим там подготовленную нами строку под видом пасхального яйца с подробными инструкциями по его активации. Разумеется, для якобы активации яйца нужно скопировать нашу строку в буфер и затем вставить в калькулятор.

Все. Максимум сутки, и небольшая бот-сеть для рассылки спама и DoS атак у нас в кармане, а разработчикам калькулятора — незачет и потеря репутации.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>После этого, мы идем в "Коллеги улыбнитесь" и еще на десяток подобных ресурсов и постим там подготовленную нами строку под видом пасхального яйца с подробными инструкциями по его активации. Разумеется, для якобы активации яйца нужно скопировать нашу строку в буфер и затем вставить в калькулятор.

а зачем так сложно-то? рассылаем коллегам ссылочку "ой! какая классная программка: url" ;)

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Виндовый калькулятор принимает входные данные не только через нажатия на кнопки, но и вставкой строки из буфера обмена (в режиме инженерного калькулятора). Попробуйте скопировать и вставить в него что-нибудь типа:

KV>

KV>(3+2*13!-3^4):m:q
KV>

KV>:m — это команда занесения результата вычислений в память
KV>:q — комадна сброса всех изменений

KV>Поэтому внешне изменений не будет, но если нажать на "MR", то из памяти калькулятора в строку ввода выведется результат этих вычислений. Это говорит о двух вещах:

KV>1. В виндовом калькуляторе есть парсер арифметических выражений, причем не самый тривиальный.
KV>2. Теоретически, данный парсер может быть уязвим к атакам на переполнение буфера, если в его реализации допущены ошибки.

Этот сценарий когда-нибудь для Windows-калькулятора был реализован в реальной жизни?