Регистрация"Пятая колонна": как с ней бороться?
1. Описать проблему побудило не до конца решенная задача борьба с внутренними врагами операционной системы.
Обычно среди всех проблем информационной безопасности компьютерных систем всех пользователей беспокоят в основном проблемы две проблемы – программные вирусы и внешние вторжения.
Программные вирусы, по моей скромной классификации, это те, кто способен массово репродуцироваться и наносить вандальный ущерб данным и системам.
Будем полагать, что с первым видом вирусов есть кому бороться – число заинтересованных компаний, производящих антивирусное ПО, давно превысило многие десятки, и условно говоря, борьба с ними ведется с переменным успехом, но в целом эти вирусы как бы побеждаются. Отметим, что основным методом вычисления вирусов считается использование сигнатур и эвристики.
Внешние вторжения – это попытки внешних злоумышленников обнаружить бреши в системе жертвы и через них пробраться в нее для совершения кражи данных и/или заражения системы.
И здесь будем полагать, что отражение внешних вторжений также успешно решено – программных и аппаратных файрволов сейчас существует немыслимое количество – выбирай любой на свой вкус.
Поэтому сосредоточимся на недостаточно решенной проблеме – обнаружение внутренних системы.
Назовем этих врагов "пятой колонной" – уж очень схоже их поведение и коварная разрушительная деятельность. Любая операционная система может быть заражена тем или иным способом как программными вирусами, так и "троянскими" закладками, обычно стремящихся вести себя тихо, ведя свою подрывную работу как можно незаметнее, иногда до поры до времени – это и есть "пятая колонна" в ПО.
Более того – "пятая колонна" может попасть в нее не только не путем внешнего вторжения, а даже изначально – об этом мог позаботиться производитель ПО двойного назначения, на вид вполне легитимного и благонадежного или "железа".
Этот вид вредоносного софта может заниматься в системе самыми разнообразными неблаговидными делами – красть и отправлять "хозяину" логины/пароли и пользовательские данные, несанкционированно крутить рекламу, нагружать процессор майнингом биткоинов и прочих электронных денег – словом, заниматься тем, что ни одному пользователю не понравится.
Главное – "пятая колонна" занимается воровством чужих данных, и за это ее следует расстрелять вычислить и нейтрализовать.
комментариев: 9796 документов: 488 редакций: 5664
Ну представьте, что весь трафик между защищаемой машиной и внешней сетью пишется. У вас есть его полный дамп, скажем за месяц. Чисто теоретически, как вы его собираетесь анализировать на предмет: сама информация о проникновении, и детали, так как могут быть получены ип, номера оборудования, прочие утечки коррелирующих данных? Если заранее не знаете, что искать.
Проще и надежнее тогда все ценное хранить на отдельной машине без доступа в сеть.
Так в и этом заключена часть вопроса, есть ли автоматичекие/полуавтоматические средства для поиска определенный паттернов в массиве трафика, для того чтобы профильтровать его до приемлимого объема, который уже потом просматривать вручную. Хотя в целом вопрос не совсем про это. Для начала например смотреть список сетевых соединений в реальном времени, это уже позволяет на неком примитивном уровне отслеживать подозрительное, за этим следуют логи, та программа полезла туда, и так далее, а та не туда, записано в лог, непонятный процесс полез на сервера АНБ, аларм. Но это все мелкие брызги. В идеале это то, что описал автор темы, нужно хорошее визуальное представление всей подозрительной сетевой/програмной активности, с логировнием, и какой-то мониторинг входящих атак, чтобы их можно было вычислить, и проанализировать. А то получается тут конь не валялся, нет никакого грамотного мониторинга и анализа. Сам автор вроде что-то нарыл, но пропал.
комментариев: 1060 документов: 16 редакций: 32
Кто такими вопросами задаются, рано или поздно обучаются таки всяким селинуксам, аппарморам и т.п., не говоря уже о консоли. Нету массового спроса на gui в этом вопросе. Вот от вирусов почти все страдают, антивирусы делать прибыльно. А тут вообще неясно, какие у такого проекта перспективы.
Мне кажется, в этом гвоздь программы – "хорошее визуальное представление". Потому что если события даже чрезвычайно подробно представлены (как например, в tcdump), но не заточены под конечное восприятие наблюдателя, то разбираться в результатах будет очень сложно.
Но если наложить на это байтовое месиво грамотный фильтр, а то и толковый анализатор, разобраться в событиях человеку будут намного проще, и он будет меньше совершать ошибок, не говоря уже о продуктивности и усталости.
Хотя конечно, всегда найдутся садомазохисты, которые будут верещать, что hex-коды – самое лучшее представление инфорамции.
+1. Выше про то, что методы защиты корпоративных сетей плохо даунгрейдся на персоналки параноиков, правильно написали. Однако, у параноиков есть один важный козырь: не светить свой IP и ходить в сеть только через Tor. Это затрудник множество атак со стороны злоумышленников. Вместо того, чтоб делать продвинутый аудит, лучше сконцентрироваться на разделении информации между юзерами или гостевыми ОС в виртуалке. Аудит — это вторая степень защиты после того, когда правильное разделение прав доступа сделано.
Уже давно не смешно. Есть яркий пример — анализ логов брутфорса по SSH: они прекрасно читаются текстом. Наверно, можно сделать и удобней, но как-то обходятся люди. Там есть встроенные методы ограничения засирания логов, настройки нужной степени verbosity и т.д. Я вот недавно свой лог читал за несколько месяцев и ничего, пролистал, всё стало понятно, выводы сделал. С помощью тулзов обработки текста (sed, awk, perl, cut, grep) однострочником, который пишется тут же на лету за несколько секунд, выцепляются те строчки в логах или те ключевые слова/поля, которые нужны. И подчеркну ещё раз основную мысль: всё делается попорядку, ко всему есть пререквизиты. Вы, не научившись ходить (владение консолью), хотите бить рекорды в беге на ходунках (глубокий аудит поведения системы, не предумсотренный стандартными средствами).
Вот-вот, это и есть садомазохизм. Хотя и вынужденный, по причине отсутствия нормального инструментария.
А на кой она мне? Я консолью пользуюсь только там, где она действительно уместна, и не стараюсь рапространить ее на всё и вся.
Если я, к примеру, еду на Мерсе – так что, мне надо знать его устройство и историю создания от сохи? Мне вполне достаточно того, что XX век предоставил электронные устройства, которые анализируют и обрабатывают обстановку с датчиков, выдавая в удобном для водителя виде, и во многом автоматически управляют системой, не нагружая водителя.
Вы же всё как-то как-то тянете к примитивизму и каменному веку.
Давайте же откажемся от Иксов, от веба и прочих форматированных текстов, и будем работать только в консоли и только с plain-текстом, ура, товарищи!
Это и есть садомазохизм в чистом виде, как бы себя не лакировали.
комментариев: 11558 документов: 1036 редакций: 4118
Голова, глаза и руки и есть нормальный инструментарий. Или Вам, чтобы книжку прочитать, тоже гуй нужен?
комментариев: 1060 документов: 16 редакций: 32
троллингдетектед! ;)
Компьютер по своему функционалу — намного более сложное устройство, чем холодильник, мерс, истребитель или что там ещё вам придумается. У нас на эту тему был срач в одном топике, вот коммент оттуда. Предлагаю вам прочитать тот топ полностью.
Это оно самое: когда у оппонента иссякают аргументы, они прибегают к этой неблагородному навешиванию ярлыков.
Которое в отличие от цивилизованного диспута доказательств не требует.
комментариев: 9796 документов: 488 редакций: 5664
[off]
Замаскировывать троллинг под цивилизованный диспут — сложно и ресурсоёмко, не все владеют таким искусством.
[/off]
Иезуитски извращать очевидную истину – еще хуже троллинга.
[/off]
комментариев: 1060 документов: 16 редакций: 32
Оно самое – это детским максимализм. Например: может вместо каждой записи в логфайле показывать всплывающее окно – это будет так весело, когда их 1000 в секунду. :)
А серьёзно – будет относительно устойчивый спрос у домашних пользователей – что-нибудь и появится. Ну как игры под Linux
комментариев: 9796 документов: 488 редакций: 5664