— SATtva (26/09/2010 18:49)   

но при этом если это недоверенная программа неприемлимо её запускать ДО установления в её отношении сетевой политики и политики безопасности?

Лол. Недоверенная программа по-хорошему вообще не должна запускаться. Если же это совершенно неизбежно, это необходимо делать в контролируемой ограниченной среде (VM, chroot), где поведение программы не играет роли.

— Гость (26/09/2010 18:58)   

Как определить какие протоколы передачи программа должна использовать в своей работе

Читать документацию на программу и гуглить. Можно запустить программу в виртуальной машине с минмальными привелегиями для работы в сети и потом добавлять эти привелегии до тех пор пока весь функционал программы не заработает.

каким образом правильно выполнять тонкую и грамотную настройку фаервола Comodo Internet Security.

Слова "грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут. Грамотные на сей день используют один из следующих софтварных файерволлов: Linux iptables и OpenBSD PF (работает во всех BSD-системах). В некоторых случаях при необходимости их заменяют на FreeBSD ipfw или NetBSD IPF. И вообще, /faq/obschie#h46-13^[link1].

Не является (ли?) Skype потенциальным (здесь я имею ввиду до поры не проявляющим своих скрытых возможностей) внедрением в систему и общество в целом?

Является. Гуглить skype site:pgpru.com и читать, читать, читать.

уважаемый читатель может привести примеры альтернативных VoIP клиентов, которые по его мнению безопасны при условии правильной политики сетевой безопасности и безопасности компьютера?

Есть много opensource-решений для VoIP. Ну Linphone хотя бы. И заземление есть, типа sipnet.ru. Проблем может возникнуть тут несколько:

1. В skype используются проприетарные кодеки для кодирования голоса. Эти кодеки защищены лицензиями/патентами и не могут официально быть встроенными в открытый софт. Говорят, что можно извратиться и на коленке сделать сборку с такими кодеками — не пробовал. Т.е. как минимум сторонний клиент будет более требователен к качеству канала связи.
2. Skype легко обходит большую часть файерволлов, т.к. умеет работать на массе портов/протоколов и маскироваться (хоть и не абсолютно надёжно как Tor) под обычный https на 443ем порту. Поэтому skype (условно) трудно забанить. С другими клиенитами — наоборот, бан лёгкий. Если админ что-то запретил, они уже сами по себе не взлетят, и прийдётся пользователю извращаться самому с туннелями на сторонний хост, чтобы заставить работать VoIP.

Также хотелось бы спросить, может ли читатель порекомендовать литературу, охватывающую полный комплекс мер по безопасности персонального компьютера ималой сети, по изложению адаптированной на опытного пользователя, проводящего самостоятельную настройку системы и фаервола?

Мне такая литература не известна. Частично здесь применим ответ данный в этом faq^[link2]. Можно даже сказать, что трудно вообразить себе книгу, где безопасность на практическом уровне излагается as is безотносительно ОС и конкретных программ. В то же время, если вы освоите любую вменяемую книгу по профессиональным системам (типа администрирование UNIX/Linux-системы), 99% всех ваших вопросов по безопасности уйдут сами собой, причём не только для конкретной системы, а вообще для любой ОС, т.к. вы начнёте понимать ОС в целом, т.е. как разные её части взаимодействуют между собой. В то же время любая литература по IT устаревает крайне быстро, потому чтобы быть в "тонусе" нужно читать новости по теме из интернета. Если бы вы читали (с вниканием в написанное) pgpru.com хотя бы года 2, вы были бы в курсе почти всего интересного, что происходит, и ни один из вопросов, что вы задали у вас бы не возник, т.к. все они уже многократно обсуждались. В частности, фильтрафция по приложениям — wrong way, см. коммент /comment22082^[link3] и весь тот тред (подсказка: фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям).

— Гость (26/09/2010 20:03)   
"Недоверенная программа по-хорошему вообще не должна запускаться"
Любая новая (для Вас) программа считается недоверенной. Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.


""грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут"
Это основывается на проведенных экспериментах? Если да, то могли бы Вы ознакомить с ними?


"фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям"

Пользователь может допустить ошибку. Здесь речь идёт об уязвимостях самих приложений и, как следствие, необходимости ограничить и пресечь несанкционированные действия.
Всем спасибо за ответы

— Гость (26/09/2010 20:14)   

Не является (ли?) Skype ... внедрением в ... общество в целом?

У вас какие-то наивные предсавление об обществе. Скорее Skype это некоторая альтернатива, и с ней повсеместно борются конкуренты по внедрению в общество. Например вот недавно в Индии^[link4].

— SATtva (26/09/2010 20:20)   

Любая новая (для Вас) программа считается недоверенной. Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.

Никакое тестирование недоверенной программы не способно выявить потенциально возможную злонамеренную функциональность. Допустим, в VM Вы установили, что ей достаточно открыть порт 80, при этом никаких негативных действий она не совершает, и Вы выпускаете её на волю. Однако, в третью пятницу декабря она внезапно сама соединяется с некоторым сервером, получает с него управляющие команды и сливает всю информацию, которую Вы передаёте ей на обработку.

Ещё раз: никакое функциональное тестирование не может использоваться для оценки безопасности приложения.

— Гость (26/09/2010 20:23)   
Гость (26/09/2010 20:03), цитаты выделяются так:
<[цитата]>
или так:
> цитата

— Geidrow (26/09/2010 20:31)   
"Skype это некоторая альтернатива"
...была таковой ДО того, как оказалась выкупленной eBay.


"никакое функциональное тестирование не может использоваться для оценки безопасности приложения"

Оk. Согласен с тем, что только открытый код позволяет изучить программу, но, если данная программа вообще не должна выходить в сеть (ну зачем сеть медиаплееру – вместо обновления можно вручную загрузить новую версию), то такое поведение необходимо блокировать. Но это слишком простой пример – пытаюсь найти методы и для более сложных случаев.

— Гость (26/09/2010 20:33)   
А никто не и говорит, что это лучшая альтернатива ;)

— Гость (26/09/2010 20:34)   

Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.

Грамотная настройка системы требует, чтобы всё было относительно безопасно безотносительно зловредности программы. Пользователи ПК делятся на "классы доступа" (назовём их так), и доступ каждого пользователя регулируется настройками системного файерволла.

Это основывается на проведенных экспериментах?

Нет, это уже давно общепризнанный подход. На тему проприетарный софт vs открытый/свободный софт в инете сказано уже так много (и на всех языках), что обсуждение этого вопроса здесь является явным оффтопиком. Где-то в целях проекта (или предыдущих редакциях?) была явно указана нацеленность сайта pgpru.com на открытость и OpenSource ПО. Объяснение тому есть в FAQ'е сайта. Если же, тем не менее, вы хотите полагаться на защиту коммерческих программ с закрытым кодом, то вы обращаетесь не по адресу.

Пользователь может допустить ошибку.

И случайно получить административные привелегии, вскрыв очередной local root? :) Если данному пользователю грамотно запрещено, к примеру, работать с интернетом, или же работать с интернетом в обход VPN, то обойти он это не сможет, какие бы программы он не использовал. Надо думать не в терминах "волшебных программ", а в терминах "взаимодействия между процессами", и тогда всё, что справедливо для конкретных программ будет очевидным следствием и сугубо частным случаем.

У вас какие-то наивные предсавление об обществе.

ТС выразился туманно, но явно видна его обеспокоенность тем, можно ли доверять Skype. Доверять skype нельзя по понятным причинам, и всё с ним связанное уже многократно на форуме и в новостях обсуждалось, ничего нового тут не добавишь.

P.S.: начинаю понимать тех, кто говорил "надо сначала почитать с пол годика сайт, а уже только потом начинать задавать вопросы".

— Гость (26/09/2010 20:36)   
Просто теперь даже у "чайников" есть выбор, кому сливать информацию – местным или глобальным властям.

— Geidrow (26/09/2010 20:38)   
ДО того, как оказалась выкупленной eBay, а впоследствии Silver Lake, Index Ventures, Andreessen Horowitz и Canada Pension Plan

— Гость (26/09/2010 20:48)   
[offtop]

"надо сначала почитать с пол годика сайт, а уже только потом начинать задавать вопросы".

Может с вопрошающих требовать метку времени скриншота страницы с интересующей их темой? :))
[/offtop]

— Гость (26/09/2010 20:58)   

Может с вопрошающих требовать метку времени скриншота страницы с интересующей их темой?

Традиционная система меток времени эту задачу автоматически решать не сможет — понадобится взаимодействие с человеком. Ну и, конечно же. классика: пункты 1 и 2^[link5].

— Гость (27/09/2010 16:11)   

требовать метку времени скриншота страницы

Лучше уж мека времени формулировки вопроса. Но таковая мека стоит в шапке темы :) А вот взять за правило отвечать не сразу, чтобы у вопрошающего было время и стимул самому поискать ответ – это мысль!

— Гость (27/09/2010 18:56)   

А вот взять за правило отвечать не сразу, чтобы у вопрошающего было время и стимул самому поискать ответ

Нет уж, мысль — это когда вопрошающий вначале гуглит, а потом спрашивает. pgpru ценится своей realtime'овостью. Иначе будет расценено как умирающий ресурс.

— Гость (28/09/2010 01:45)   

мысль — это когда вопрошающий вначале гуглит, а потом спрашивает

Над исполнением моей мысли властен отвечающий, а вашей – вопрошающий (с кем, собственно говоря, тут и "боремся" :)
В качестве компромиса предлагаю в реалтайме начинать только с наводящий идей и ссылок, а разжёвывать уже потом, постепенно. Педагогика, однако! :)

— Гость (14/10/2010 21:19)   
ДО того, как оказалась выкупленной eBay, а впоследствии Silver Lake, Index Ventures, Andreessen Horowitz и Canada Pension Plan

Которые как бы не были под крышей наших спецслужб, вот что может быть страшно. Да и ЦРУ/ФБР не намного слаще, вон Обама с Медведом в десны целуются, кто знает, может завтра команду даст наших диссидентов сливать?!
А вообще я давно говорю, нужен оупнсорсный аналог скайпа, только более тороподобный (обязательно между клиентами должно быть несколько супернод).
Только вот кто напишет?! Я, к сожалению, не спец...
Вот если украду много денег :), тогда помеценатствую, найму программеров хороших, чтобы написали, и опубликую под GPL.

— Гость (16/10/2010 06:15)   

Только вот кто напишет?!

Вот сюда^[link6] гляньте, закиньте идею, попробуйте, только внятное ТЗ заготовте предварительно, а то народ давно уже мучается,не знает, куда бы свои силы приложить. Результаты могут быть фееричны :)

— Гость (16/10/2010 19:10)   
ТЗ: "скайп, открытый, тором" :)

— Гость (16/10/2010 20:12)   

ТЗ: "скайп, открытый, тором" :)

Ну вот, сами писать код не хотите, ТЗ тоже не хотите, тогда не жалуйтесь :)

— Гость (16/10/2010 22:28)   
Писать не хотим, хотим жаловаться!

— Гость (17/10/2010 15:06)   
Да тут бы форум через mixminion читать научиться, а вы говорите – открытый skype!

— Гость (17/10/2010 15:24)   

Вот сюда гляньте, закиньте идею,

Они там ищут не инструмент для дела, а дело для инструмента. А поскольку инструмент у них универсальный, то дел (может быть) множество, но при этом никакое конкретно не сдвигается с исходной точки. В общем, по этой ссылке практической отдачи не ищите. :)

— Гость (17/10/2010 18:38)   
Вот я и говорю, подавляющее большинство не желает и пальцем шевельнуть для решения своих проблем, а желает быть продвинутыми пользователями, жаловаться на жизнь и поругивать (потенциальных) разработчиков
:)