Опасно ли использовать российские антивирусные программы/фаерволы?
Не могут ли власти заставить их предусмотреть в этом ПО троянские модули, отсылающие инфу с пользовательских машин прямо в Органы?
Ссылки
[link1] http://selinux-symposium.org/2006/summit.php
[link2] http://selinux-symposium.org/2007/abstracts.php#pms
[link3] http://liquidat.wordpress.com/2007/07/19/application-wise-network-filtering-on-linux/
[link4] http://securityblog.org/brindle/2007/05/28/secure-networking-with-selinux/
[link5] http://netlabel.sourceforge.net/
[link6] http://www.opennet.ru/base/sec/authpf_auth.txt.html
[link7] http://www.openbsd.org/faq/pf/carp.html
[link8] https://www.pgpru.com/comment38574
Опасно использовать любой софт с закрытым кодом. Впрочем с открытым тоже, если вы не проверяете и не компилируете каждую используемую программу сами.
Поэтому если вы всерьез опасаетесь правительственных закладок в ПО, то первое от чего следует отказаться – это Windows.
Более опасно использовать антироссийские программы, особенно те, которые в голове.
Свободным головам – свободные программы!
PR-служба известной организации добралась до pgpru?
Я бы сказал, что любые антивирусы следуют изначально порочным путём, и какой у них производитель, отечественный или иностранный, роли не играет, проблема в самой сути этого класса ПО: принцип его работы — реакционный. То есть вначале появляется очередной "зловред", заражает некоторую долю клиентских машин (и, иногда, машин-ловушек антивирусных фирм), затем выпускается вирусная сигнатура, которая блокирует дальнейшие заражения (данным конкретным вирусом); "вылечить" машину, однако, антивирус сможет в весьма редких случаях. Очевидно, это по сути проигрышный подход, нападающий здесь всегда будет на шаг впереди, и Вам лишь остаётся надеяться, что Ваша машина не попадёт в число тех, которые окажутся заражены в первой волне эпидемии, или не будет подвергнута целенаправленной атаке специализированным вирусом, от которого антивирус опять же никак не защитит.
Ну, а если отвечать на вопрос более буквально, то следует опасаться не столько "слива" Ваших данных (в таком случае, действительно, первым делом прощайтесь с Windows), а того, что специализированные трояноподобные программы, применяемые правоохранительными органами ряда стран для слежки за подозреваемыми, не детектируются известными антивирусами как "зловреды" (гуглите magic lantern, в Википедии тоже есть статья на эту тему).
А какой Вы можете порекомендовать хороший персональный файерволл под win32 с открытыми исходниками?
Меня интересует только функции контроля обращений приложений в инет. Функции пакетного файервола не обязательны, всякие фильтры рекламы и контента не нужны вообще, основное условие надежная работа.
Какие есть варианты?
Какой бардак!!!
Файерволл – по определению то что фильтрует пакеты на уровне политик. Как правило файерволл не знает какая программа послала пакет, и фильтрует в зависимости от порта и хоста назначения. Сейчас на файерволл навешивают дополнительный функционал, который позволяет определять, например, от какого пользователя идут пакеты и в зависимости от этого принимать то или иное решение.
Что касается фильтра по приложениям – не знаю как это сделано в win, но судя из общих соображений такая политика должна легко обходиться умной программой. А если программа тупа и даже не может сменить стандартные порты без вашего ведома, то можно и ограничится выставлением портов в файерволле.
Фильтр рекламы – это фильтр рекламы и к файерволлу отношения прямого не имеет (хотя бывают редкие случаи когда реклама ежется системный файерволлом).
Есть порт OpenBSD PF под win. Вроде его хвалили, но там не вся функциональность, и фильтровтаь по приложениям он вроде как не умеет.
Так я потому и спросил про персональныйх файервол, как иначе обозначить необходимый мне функционал? Вы же говорите про пакетный файервол, с ним все понятно. Про фильтры рекламы я специально сказал "не нужны вообще" чтобы не было лишних вопросов.
Называется wipfw. Хороший пакетный файервол, простой, с исходниками. Но к сожалению проект прекратил развитие – последний релиз от 12.12.06, бета 11.02.07 http://wipfw.sourceforge.net/
Так что вопрос отсается открытым: Хороший персональный файервол с открытым кодом под win32 – есть такие?
tdifw?
В Linux были "персональные" опции для iptables. Можно было ограничить доступ в сеть конкретной программе по имени. Догадываетесь, почему эту опцию выкинули?
Осталась только опция ограничения по пользователю, но не по программе.
Потому что эта опция была стыдливо придумана для тех, кто привык видеть в Win так называемые персональные файрволы, которые легко якобы могут устанавливать правила для отдельных программ и для тех, кто просили реализовать подобный функционал простым способом. Это не более чем обман. Такая защита обходится элементарно.
В Unix-системах персональные возможности доступа приложения к сети по-настоящему настраиваются только через систему мандатных политик доступа, что требует поддержки на уровне ядра. Написать открытое ПО для Windows, которое могло бы по настоящему изменять полномочия программ в системе таким образом невозможно (если это не руткит и не дешёвая имитация).
Ходили слухи, что iptables до конца ещё не интегрирован с SeLinux. Это правда? Так что не факт что там всё можно рулить касаемо сети из-под SeLinux.
В принципе, оно уже всё работает. Хотя, да, см. абзац Network Access Controls[link1]
С тех пор мало что поменялось[link2]:
Количество даже чисто теоретических проблем до сих пор значительно.
Хотя разработчики больше заинтересованы в коллективных, распределённых и масштабируемых политиках сетевой безопасности в пределах организованного домена, а не в простых решениях для обычного одиночного пользователя.
Простые (но менее надёжные) альтернативы SELinux указаны в заметке Application-wise network filtering on Linux[link3].
Все они тоже требуют своего модуля ядра. Всё это только для примера, что если даже в открытой Unix-платформе это трудно реализовать и безопасность такого решения сомнительна, то в Win от этого толку вообще мало.
вот примеры[link4] использования SELinux NetLabel[link5], который всё-еще находится в альфа-стадии разработки.
Однако, основной смысл этого проекта не в создании пользовательского файрволла, а в том что фильтруются не IP адреса и заголовки пакетов (которые легко могут быть подменены в сети и не могут служить доказательством аутентичности), а потоки IPSEc, т.е. это способ работать с сетями, в которых вся маршрутизации построена на криптографии. Такой прообраз Интернета будущего, где можно делегировать локальные правила безопасности на другие машины посредством криптопротоколов.
Моя интуиция подсказывает, что часть проблем, возможно, связана как раз с самой архитектурой UNIX. Если бы саму новую систему и интерфейсы вдруг решили бы сейчас всем миром писать с нуля, масса проблем была бы уже решена.
unknown полностью прав, и очень хорошо все обьяснил. Действительно "персональные" фаерволлы для windows идут по ложному пути развития, который приводит только к увеличению количества глюков и уязвимостей, но не достигает результата – безопасности. У меня давно уже витает идея насчет написания открытого фаерволла реализующего контроль доступа на уровне пользователей и тулзы упрощающей настройку запуска софта в многопользовательской среде. Но к сожалению не хватает времени на реализацию.
Имхо лучше не усложнять итак сложную жизнь, а использовать открытые разработки типа Linux/BSD.
Во время военного конфликта Израиля с Ливаном, Израиль предпринял множество способв для выведения из строя информационной инфраструктуры своего противника. Отбросим в сторону международную политику, допустим это надо было для Израилю для эксперимента или для быстрого блокирования коммуникации ливанских лидеров через Интернет. Но факт в том, что кроме бомбардировок предпринималось и глушение беспроводных сетей и сетевые атаки. Кроме факта остались неподтверждённые убедительно слухи о том, что в Вин-машинах вышли из строя сетевые карты.
Вообще существование "киллер-кода" или активируемых через закрытые драйвера недокументированных функций в коммуникационном оборудовании для Интернета или мобильной связи возможно. И это справедливо в принципе для любого оборудования.
использование закрытых драйверов само по себе опасно. Внедрение DRM в новых версиях Windows ухудшает ситуацию ещё больше.
Так что антивирусные программы или файрволлы ещё не самые вероятные кандидаты для закладки.
А вроде бы в незапямтыне досовские времена точно были вирусы которые могли сломать диск, выведя его головку из строя, были вирусы которые жгли материнку даже, кажется, и были точно вирусы, которые прожигали точку на экране, заставляя фокусировать весь пучок на одну точку (там люминофор выгорал что ли...). Не знаю возможно ли всё это на современном железе... но сказаний с тех времён осталось много.
Ага, много чего было.
О закладкая в сетевых картах не скажу по причене отсутсвия информации. Но если подумать, на сетевой карте сигнал обрабатывается еще до передачи в шину и драйверу, например atx комп можно включить по сети отправив на карту три пакета с ее мак адресом (wol), что мешает там быть и другим "функциям"?
Интересно будет почитать про сетевухи да и вообще железо которое проверяли на наличие закладок.
"Опасно ли использовать нероссийское железо?" :)
Есть подозрение, что можно запускать каждую программу от своего собственного юзера, которого выпускать в инет только после аутентификации на fw посредством authpf[link6]. Возможно, ещё понадобится сделать несколько виртуальных ip-шников на одном и том же физически сетевом интерфейсе, к которым привязать CARP[link7]. В частности, здесь, как мне кажется, получится и настроить доступ для ряда юзеров в инет непосредственно лишь через тор (знаю что были мануалы на эту тему – как сделать в PF, видел их, но не разбирался), и вплоть до того чтобы прописать каждому приложению свой роутинг. Точно не знаю, будет ли работать, но предполагаю что соорудить можно. В итоге работать будет подо всеми BSD.
В смысле из-за того что каждое приложение будет запускаться только из-под конкретного пользователя.
Как элементарно? Например на уповне системы +FW запрет всему доступ в сеть и все привелегии заперещены тоже, кроме нескольких процесов, FW берет их путь к файлу и что-то типа СRC или файл подписан. Чтобы залесть в процесс нужен админский доступ и привелегии. FW и система не дадут запуститься ничему без явного разрешения. А даже если разрешение дано, как процесс куда-то сможет полезть без доступа?
А меня наводит на мысль, какая разница какая система Linux или windows nt, BSD везде есть свои баги не в самой системе так в программах которые установленны. Мой ответ чтобы ни делал и какую систему не ставил всеравно на 100 процентов невозможно защитить. И firewall и антивирус это только начало безопасности. Это целый комплекс всяких средств так скажем обязательных это firewall антивирус, автомотическое обновление и контроль учётных записей. Затем шифрование и безвозвратное удаление данных шрёдерами. Постоянный контроль и аудит. Просто нужно придерживотся пословици доверяй, но проверяй. И у такой машины будет много шансов быть несломленой.
Из того, что баги есть везде, вывод, который вы делаете, не следует.
Наверно, примерно так же, как обход AppArmor[link8]'а, или даже ещё проще.