id: Гость   вход   регистрация
текущее время 16:21 28/03/2024
Автор темы: meticulous, тема открыта 23/03/2015 01:43 Печать
Категории: уязвимости, атаки
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ПятаяКолоннаКакСНейБороться
создать
просмотр
ссылки

"Пятая колонна": как с ней бороться?


1. Описать проблему побудило не до конца решенная задача борьба с внутренними врагами операционной системы.


Обычно среди всех проблем информационной безопасности компьютерных систем всех пользователей беспокоят в основном проблемы две проблемы – программные вирусы и внешние вторжения.
Программные вирусы, по моей скромной классификации, это те, кто способен массово репродуцироваться и наносить вандальный ущерб данным и системам.
Будем полагать, что с первым видом вирусов есть кому бороться – число заинтересованных компаний, производящих антивирусное ПО, давно превысило многие десятки, и условно говоря, борьба с ними ведется с переменным успехом, но в целом эти вирусы как бы побеждаются. Отметим, что основным методом вычисления вирусов считается использование сигнатур и эвристики.
Внешние вторжения – это попытки внешних злоумышленников обнаружить бреши в системе жертвы и через них пробраться в нее для совершения кражи данных и/или заражения системы.
И здесь будем полагать, что отражение внешних вторжений также успешно решено – программных и аппаратных файрволов сейчас существует немыслимое количество – выбирай любой на свой вкус.


Поэтому сосредоточимся на недостаточно решенной проблеме – обнаружение внутренних системы.
Назовем этих врагов "пятой колонной" – уж очень схоже их поведение и коварная разрушительная деятельность. Любая операционная система может быть заражена тем или иным способом как программными вирусами, так и "троянскими" закладками, обычно стремящихся вести себя тихо, ведя свою подрывную работу как можно незаметнее, иногда до поры до времени – это и есть "пятая колонна" в ПО.
Более того – "пятая колонна" может попасть в нее не только не путем внешнего вторжения, а даже изначально – об этом мог позаботиться производитель ПО двойного назначения, на вид вполне легитимного и благонадежного или "железа".


Этот вид вредоносного софта может заниматься в системе самыми разнообразными неблаговидными делами – красть и отправлять "хозяину" логины/пароли и пользовательские данные, несанкционированно крутить рекламу, нагружать процессор майнингом биткоинов и прочих электронных денег – словом, заниматься тем, что ни одному пользователю не понравится.
Главное – "пятая колонна" занимается воровством чужих данных, и за это ее следует расстрелять вычислить и нейтрализовать.


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— meticulous (24/03/2015 02:11)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0
Ну тогда эта система не для вас. Вообще, чтобы обнаружить взлом и компрометацию системы нужно понимать как она работает. И уметь самосостоятельно её собрать и разобрать с завязанными глазами.

А она и не для меня. Она должна быть для всех, даже неподготовленных пользователей. Поэтому она должна быть на уровень выше – если не по интеллекту, то по крайне мере по степени ее совершенства.

Если кто-то напишет что-то для безопасности и будет заморачиваться с графическими оболочками, то я бы посчитал это дурным знаком. Ладно там, развлечения всякие, но серьёзные системные вещи — строго через консоль.

unknown, похоже, у вас сугубо монохромное видение :)
Я ведь совершенно точно определил, чего же я хочу:

Иными словами – хочу получать результаты в GUI.

Но раз не обратили на это должное внимание, расшифрую:
– все системные задачи как выполнялись, так и выполняются в консоли.
– графические оболочки – это только для отображения, потому что графика удобнее воспринимается. Иными словами, отображением занимается фронт-енд, который не несет функциональной нагрузки, а лишь базируется на результатах работы "строго консольных программ".
Это классический вариант современного слоеного пирога в Linux – фронт-енды и
консольные системные и прикладные программы.

К примеру, есть хорошо известная система обнаружения вторжений Snort.
Но она консольная, и поэтому ее используют большей частью на серверах.
Однако создатели ClearOS, в отличие от скептиков pgpru, не поленились и написали к ней замечательный фронт-енд с web-отображением, и пользоваться системой Snort стало намного удобнее в разы. Так что же, создатели ClearOS, по вашему, дураки?
Между прочим, это не единственный пример.

В этом деле никакой конкуренции западных производителей НЕТ.

Точно? Сноуден подтвердил? Тогда печально.

Гостю (24/03/2015 00:46):
Во многом вы правы, возражать не стану. Но вы напираете как типичный фанатик Линукса, который на любое замечание парирует однообразно: "Тогда сделай сам!"
Как вы не поймете, что есть создатели софта, а есть его потребители, и последние могут только расчитывать на то, что кто-то для них сделает – ну не умеют они создавать, а и не нужно им это вообще! Зато они умеют что-то другое, например, администрировать сети, писать стихи или вышивать крестиком, но они ведь не требуют, чтобы это умели все, не так ли?
Что до вашего "скриптоваяния". На мой взгляд, это занятие крайне вредное, если его распространять на всех. Для себя, любимого – пожалуйста, но навязывать его всем – извольте создавать полноценный софт, а не костыли, которые крайне зависят от любого чиха в системе – догадываетесь, о чем я?

Короче. Насколько понял, никто полноценного решения в рамках этой задачи, кроме набивших оскомину советов "сделай сам" и ремарк "сам дурак", не знает?
— meticulous (24/03/2015 02:46)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0
Мда. Снова получилось легендарное: хотел как лучше, но на pgpru получилось как всегда.
То есть, вдоволь надискутировшись здесь до хрипоты, похоже, сам нашел нечто обнадеживающее, а именно:
– упомянув здесь походя давно известный Snort, затем пошел глянуть, какие подвижки с ним произошли за последнее время.
Оказалось, что на его базе уже успели наклепать множество фронт-ендов – как раз то, что мне нужно!
Правда, они оказались не просто фронт-ендами, а целыми дистрибутивами для контроля сетевой безопасности: Лучшие дистрибутивы linux для мониторинга безопасности сети

Это, разумеется, не совсем то, что мне нужно, но возможно, кто-то догадался изобрести фронт-енд для Snort для совместного использования на десктопе.
Бум искать...
— Гость (24/03/2015 10:13)   <#>
Как уже отмечено в другой теме, самое простое это использовать прокси для ограничения выхода в сеть и логирования трафика. Но в случае squid такое решение имеет минусы

1. Не учитывается UDP
2. Нет штатной опции чтобы указать SOCKS в качестве родительского прокси. Это решаемо, но возникает более серьёзная проблема – невозможность изолировать трафик приложений по Tor-цепочкам с помощью SOCKS-авторизации.
3. Громозкое приложение, предназначено в первую очередь для кеширования, которое не нужно при пользовании тором.

В идеале нужен легковесный HTTP-прокси (как privoxy), способный также пропускать UDP, с развитыми средствами логирования и контроля доступа (как squid), стоящий между приложениями и тором. Тогда весь веб-трафик будет подробно записываться по URL для каждого HTTP-запроса. Любое не-HTTP приложение, включая почту, мессенджеры и пиринговые клиенты можно туннелировать через HTTP-прокси методом CONNECT с помощью имеющихся проксификаторов (например proxychains), а для UDP использовать свои соксификаторы (например socksify).

Есть ещё вариант использовать SOCKS-сервер (например dante), но он не даёт такую подробную статистику для HTTP-трафика (по URL), пишет только хост и порт. Изолировать Tor-цепочки правила ACL вроде позволяют, но сам не проверял.

Кроме контроля трафика, можно создать базу данных хеш-сумм важных файлов системы (исполняемые, библиотечные, конфигурационные и т.п.) и регулярно их проверять. Для этого существуют специальные программы – Tripware к примеру.
— unknown (24/03/2015 10:55, исправлен 24/03/2015 10:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если что-то кэшировать до заворачивания в Tor, то может закэшироваться ответ, полученный на предыдущей цепочке — очень специфический различитель.



Лет 10 назад использовал AIDE. Мазохизм тот ещё. С учётом того, что для реальной безопасности это надо делать на выключенной системе, примонтировав её, загрузившись с другого носителя.

— meticulous (25/03/2015 02:07, исправлен 25/03/2015 02:23)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0

Из найденных идейных борцов с "пятой колонной" (а также с внешними врагами) пока остановился на этом дистрибутиве: EasyIDS, поскольку он кое-кого мне напомнил.
Качать его отсюдова.


Из беглого знакомства с сайтами и разворачивания в VirtualBox обнаружилось следующее:


1. Проект не имеет никакой документации, даже неоткуда было узнать логин/пароль для в веб-панель.
2. Последняя версия EasyIDS застыла на отметке 0.4 еще в 2009 г.
Ее исошник занимает 525 Мб.


Из вышесказанного следует, что проект заброшен.
Однако остальное понравилось:


3. Дистрибутив разворачивается на отдельном 2-карточном сервере.
4. Основан на стареньком CentOS 5.2, однако без проблем обновился до 5.11.
5. Установился без проблем и довольно шустро.
6. После установки и запуска долго занимался какой-то внутренней самонастройкой (по консоли долго бежала уйма непривычных для CentOS строк), затем еще раз ребутнулся и был готов к работе.
7. Пришлось долго соображать, какой же пароль доступа к веб-панели.
Оказалост эксклюзивное сочетание: admin/password
8. Веб-панель произвела довольно благоприятное впечатление: простая, лаконичная и понятная.


Снял ее наиболее характерные скриншоты:


http://savepic.net/6542596.htm
http://savepic.net/6531332.htm
http://savepic.net/6530308.htm
http://savepic.net/6536452.htm
http://savepic.net/6534404.htm
http://savepic.net/6522116.htm
http://savepic.net/6514948.htm
http://savepic.net/6513924.htm
http://savepic.net/6520068.htm
http://savepic.net/6516996.htm
http://savepic.net/6506756.htm
http://savepic.net/6505732.htm
http://savepic.net/6510852.htm
http://savepic.net/6498564.htm
http://savepic.net/6496516.htm
http://savepic.net/6502660.htm
http://savepic.net/6503684.htm
http://savepic.net/6490372.htm


Скриншотов могу еще добавить.


Это мой микровклад в ваше знакомство с EasyIDS.


И теперь, господа безопасники, просьба к вам: оцените, пожалуйста, по этим данным – достойный ли этот продукт, достаточно ли его возможностей по нынешним временам, можно ли на него опереться, и т.д.
С Tor'ом, насколько понимаю его функционал, он целиком совместим (имхо).

— Гость (25/03/2015 05:08)   <#>
ntop, rddtool, arpwatch, snort и остальное можно установить на любой машине без привязки к недокументированному и заброшенному дистибутиву. Единственное отличие – веб-интерейс, объединяющий использование разных программ, но не факт что это лучше их обычного запуска.
— Гость (25/03/2015 07:44)   <#>
список борцов
— Гость (25/03/2015 08:07, исправлен 25/03/2015 09:18)   <#>

Пиз*ец. Многие вещи правильнее всего решать самому. Я решаю, например. Чем вы хуже?



Тогда пусть сидят без безопасности. У всего есть цена, пора бы уже понимать.



Вообще-то умение писать на шелле (а зачастую ещё и перле) — пререквизит для любого администратора UNIX/Linux/сетей. Как без этого администрировать-то? Там всё на скриптах, их надо понимать, уметь фиксить и при необходимости писать свои. Точно так же администраторы винды должны уметь писать батники, а, по-хорошему, ещё и знать виндовый шелл.



Я вижу, не в коня корм пошёл, как всегда. Тебе показали примеры скриптов — ты хоть один скопировал? Попытался понять, отредактировать под себя? Тебе указали на osd_cat — ты хоть один запрос в гугл в вбил, чтобы прочитать, что это и зачем? У тебя софт был на мандриве — ну отлично, а что, нельзя найти его название? В крайнем случае можно установить старый дистр и вычислить, что это было, потом поискать его под современные версии ОС. Что-нибудь из этого было сделано? Нет, ты и палец и палец не стукнул и даже не собирался, пришёл сюда просто поныть.


У других триггер моментально срабатывает: если чел ноет, и большая часть его вопросов снимается изучением матчасти, значит, помогать не надо. Т.к. если при всё этом он не снизошёл до изучения этой самой матчасти, значит, тому есть фундаментальные причины, которые всё равно вылезут, хоть ты ему запомогайся. Да, можно ответить на любой бред формальным точным развёрнутым ответом, как я это сделал выше, но это не поможет, ибо причины не в конкретике, причины лежат глубже.



И теперь, господин meticulous, продолжай как-нибудь сам, без нас. Кормить тебя и развлекать не будем. Можешь развозить сопли о том, какие все линуксовые фанатики идиоты, зазнавшиеся, ничего из себя не представляющие и не понимающие, и всё остальное. Лично мне пофиг. Хочется запомнить этот пост, т.к. чувствую что ещё не раз придётся его процитировать.

— Гость (25/03/2015 20:57)   <#>
ntop, rddtool, arpwatch, snort и остальное можно установить на любой машине без привязки к недокументированному и заброшенному дистибутиву.

Можно. Но не нужно.

Единственное отличие – веб-интерейс, объединяющий использование разных программ, но не факт что это лучше их обычного запуска.

Вот именно. Веб-интерфейс в графике для отображения гораздо лучше. Если нет – юзайте Lynx в консоли при серфинге в Интернете. Может, у вас найдутся благодарные последователи.

Пиз*ец. Многие вещи правильнее всего решать самому. Я решаю, например. Чем вы хуже?

Потому что вы узкий специалист. Времена, когда каждый лепил себе для каждой своей задачи самописный самокат и трубил на весь свет, выдавая как уникальное достижение, прошли еще в прошлом тысячелетии.
Но некоторые в нем так и остались. Так и не поняв, что уникальность – быстропреходящее понятие и бич IT. А главный двигатель развития – унификация подходов и технологий.

Тогда пусть сидят без безопасности. У всего есть цена, пора бы уже понимать.
Пора бы уже давно понять, что есть множество софта, и задача пользователя не написать новый, а подобрать из них наиболее подходящий для решения задачи.

Вообще-то умение писать на шелле (а зачастую ещё и перле) — пререквизит для любого администратора UNIX/Linux/сетей. Как без этого администрировать-то? Там всё на скриптах, их надо понимать, уметь фиксить и при необходимости писать свои. Точно так же администраторы винды должны уметь писать батники, а, по-хорошему, ещё и знать виндовый шелл.

Судя по этим представлениям, вы начинающий то ли администратор, то ли программист, который изучил скриптоваятельство и суется с ним куда надо и не надо. Уже много лет прекрасно обхожусь без скриптов и не испытываю никаких трудностей.
Создание скриптов – это вынужденный, последний бастион решения задачи, когда уже никак по другому ее решить нельзя.

Я вижу, не в коня корм пошёл, как всегда. Тебе показали примеры скриптов — ты хоть один скопировал?

Ему про Фому, а он про Ерему. Я вижу, что ты еще тупее чем я. Сказано уже не раз, повторю более доходчиво: засунь свои скрипты себе сам знаешь куда!
И выучи хотя бы понятие, что такое системная интеграция и ее место в современной IT-индустрии, и попробуй найти в ней свои самописные скрипты.

И теперь, господин meticulous, продолжай как-нибудь сам, без нас.

Не стоит натягивать на себя гандон тогу римского императора и расписываться за всех.
Иначе будешь послан далеко и надолго как носитель фекалий с плохо работающим сфинктером.
Не сунься ты в эту тему, кто-то возможно и дал конструктивные рекомендации, но после твоих испражнений сюда противно заходить.
— SATtva (25/03/2015 21:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вброс не засчитан.
— meticulous (25/03/2015 21:32)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0
SATtva, а почему вы удалили мой последний коммент?
— SATtva (25/03/2015 21:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Правила, п. 2.b.v. Но и предыдущий Ваш пост так толст, что у меня руки чешутся.
— meticulous (25/03/2015 22:02)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0
Да пожалуйста, я не против, даже "За", но тогда удалите и пост Гостя (25/03/2015 08:07), который устроил этот срач, а мне пришлось огрызаться – вынужденая ответная мера.
Если бы вы его удалили сразу, то был бы полный порядок.

Да – пост Гостя (25/03/2015 20:57) это тоже мой, просто не заметил, как выбросило из сесии.

Так что прошу вас удалить все, что следует за Гостем (25/03/2015 08:07) включительно.
— Гость (26/03/2015 02:06)   <#>

Не дал бы. Конструктивное по общим темам здесь пишут три человека: SATtva, unknown и я; но все они уже высказались. По узким продвинутым темам ещё иногда могут высказаться gegel и sentaus, но здесь не тот случай.
— Гость (26/03/2015 02:14)   <#>

Если сильно надо, запускать в чистых гостевых ОС в виртуалке. Доступ к сети рулится на хостовых ОС. Потенциально так можно запускать хоть программы требующие рутовый доступ, если сильно надо.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3