"Пятая колонна": как с ней бороться?


1. Описать проблему побудило не до конца решенная задача борьба с внутренними врагами операционной системы.

Обычно среди всех проблем информационной безопасности компьютерных систем всех пользователей беспокоят в основном проблемы две проблемы – программные вирусы и внешние вторжения.
Программные вирусы, по моей скромной классификации, это те, кто способен массово репродуцироваться и наносить вандальный ущерб данным и системам.
Будем полагать, что с первым видом вирусов есть кому бороться – число заинтересованных компаний, производящих антивирусное ПО, давно превысило многие десятки, и условно говоря, борьба с ними ведется с переменным успехом, но в целом эти вирусы как бы побеждаются. Отметим, что основным методом вычисления вирусов считается использование сигнатур и эвристики.
Внешние вторжения – это попытки внешних злоумышленников обнаружить бреши в системе жертвы и через них пробраться в нее для совершения кражи данных и/или заражения системы.
И здесь будем полагать, что отражение внешних вторжений также успешно решено – программных и аппаратных файрволов сейчас существует немыслимое количество – выбирай любой на свой вкус.

Поэтому сосредоточимся на недостаточно решенной проблеме – обнаружение внутренних системы.
Назовем этих врагов "пятой колонной" – уж очень схоже их поведение и коварная разрушительная деятельность. Любая операционная система может быть заражена тем или иным способом как программными вирусами, так и "троянскими" закладками, обычно стремящихся вести себя тихо, ведя свою подрывную работу как можно незаметнее, иногда до поры до времени – это и есть "пятая колонна" в ПО.
Более того – "пятая колонна" может попасть в нее не только не путем внешнего вторжения, а даже изначально – об этом мог позаботиться производитель ПО двойного назначения, на вид вполне легитимного и благонадежного или "железа".

Этот вид вредоносного софта может заниматься в системе самыми разнообразными неблаговидными делами – красть и отправлять "хозяину" логины/пароли и пользовательские данные, несанкционированно крутить рекламу, нагружать процессор майнингом биткоинов и прочих электронных денег – словом, заниматься тем, что ни одному пользователю не понравится.
Главное – "пятая колонна" занимается воровством чужих данных, и за это ее следует расстрелять вычислить и нейтрализовать.


Комментарии
— meticulous (23/03/2015 01:44)   
2. Из этих двух задач более сложным является определение наличия "пятой колонны". Ее можно определять как и вирусы – сигнатурами и эвристикой, но это методы не гарантируют 100%-й результат.
Более надежным является детекция ее активности по несанкционированным попыткам "пятой колонны" пробраться из системы наружу в Интернет.
В качестве примера можно привести два известных антивирусных программных продукта – NOD32 и KAVP. Оба содержат, помимо классического антивируса, файрволы, которые отслеживают попытки внешних вторжений в систему, так и попытки "пятой колонны" вырваться наружу и "слить" уворованные данные своему хозяину.
И, если доверять создателям этих ПО, то задачу определения и нейтрализации "пятой колонны" можно считать решенной.
Однако лично я, как потомственный параноик, не доверяю ни этим создателям, ни каким-либо другим, и в то же время, считая их весьма неглупыми людьми, подозреваю, что в свое ПО они встроили свои собственные закладки – шпионаж в Сети приобрел колоссальные масштабы. Чтобы поймать за руку любых из таких созидателей, нужно использовать общеизвестную гебистскую методику: заставить ПО совершенно независимых (а лучше – непримиримо конкурирующих) производителей следить друг за другом и стучать друг на друга.
В данном примере, это например, сочетание того же KAVP и NOD32, Symantec и т.п.
Однако известно, что антивирусное ПО на одном общем компьютере совершенно не уживаются друг с другом, ну да ладно, это не представляет сферу моей озабоченности как решения для Windows, который меня не интересует.
— meticulous (23/03/2015 01:45)   
3. Кратко из истории защитного ПО.
В эпоху Windows 95 был такой популярный файрвол – AtGuard, или @Guard.
Он успешно вычислял в режиме реально времени внешние как попытки вторжения в систему, так и попытки внутреннего софта вырваться в наружу, причем с его точной идентификацией. Данный файрвол работал в диалоговом режиме и был чрезвычайно простым и удобным в использовании.
К сожалению, спустя годы, когда его слава миновала и о нем почти позабыли, кто-то случайно определил, что AtGuard сам по себе являлся не только весьма успешным файрволом, но и ПО двойного назначения – типичным примером
"пятой колонной".
Тогда какие у нас сейчас есть основания верить KAVP, NOD32, или еще кому-то? Как говорится, большое "ХМ".

Второй, положительны пример – из ОС.
Mandriva 2008 содержала встроенный файрвол, который не только срезал попытки внешних злоумышленников прорваться в систему, но и отображал их в реальном времени в виде всплывающих сообщений – очень удобный и наглядный в использовании файрвол.
Поступал ли он также в отношении "пятой колонны", уже не помню, но если да – то это было великолепное решение как для системы, так и для пользователя, больше ничего, собственно, и не нужно.
— meticulous (23/03/2015 01:46)   
4. Кратко из опыта.
Одно время использовал на работе в качестве шлюза в Интернет 2-карточный сервер с операционной системой ClearOS. Эта система содержала две важные для нашей проблемы компоненты – файрвол (iptables) и прокси-сервер (squid).
Файрвол настраивался так, чтобы резать все входящие, кроме нужных, и все исходящие.
Исходящие HTTP/HTTPS направлялись на прокси-сервер. Прокси-сервер настраивался как "непрозрачный", что позволяло использовать авторизацию для браузеров.
Таким образом, пользователи локалки ходили браузером в Интернет только через прокси и только после авторизации на нем путем ввода индивидуального логина/пароля.
В итоге получалось, что та часть "пятой колонны" ПК пользователей (виндовс), которая рвалась наружу по своим уникальным портам, просто блокировалась правилами файрвола и отмечалась в его логах, а наиболее хитро$опая часть "колонны" при попытке вырваться наружу "как все", т.е. через прокси, во-первых, получала облом по полной морде, т.к. не обладала знаниями о логинах/паролях, во-вторых, так же успешно фиксировалась в логах прокси, где впоследствии анализировалась.

То, что если ClearOS и содержал бы свою собственную "пятую колонну" (теоретически это также возможно), меня волновало меньше всего, т.к. максимум, на кого она настучать – так это на самое себя, а это невелика потеря. А если бы эта "клиаросовская колонна" попыталась ломануться на ПК пользователей, то была отражена их собственными виндовс-файрволами.

Благодаря такой защитной системе я узнал мноооого интересного о софте, установленном на ПК пользователей. Благодаря логам на сервере было изобличено и нейтрализовано множество с виду вполне полезного и благонадежного софта – всю ту тщательно замаскированную "пятую колонну", которая была готова с радостью "слить и настучать куда не следует"

Практика работы с ClearOS была самой положительной, и я уж было готов применить ее также в домашнем применение.
Но тут вмешался тов.unknown и вдребезги разбил мои чаяния по поводу совместимости этой схемы с сетью Tor.
— meticulous (23/03/2015 01:48)   
Ну и собственно, теперь вопрос: что мне, истинному параноику, сейчас делать с этой "пятой колонной", если у меня установлен Linux с GNOME-2?
Я не знаю такого готового решения, которое бы решало все эти задачи:

1. Обнаруживало и блокировало в real-time попытки внешних злоумышлеников проникнуть в/или заразить систему, отображая их в удобном виде во всплывающих сообщениях.
2. Обнаруживало и блокировало деятельность "пятой колонны" – также в real-time во всплывающих сообщениях – и это меня беспокоит больше всего.

PS-1. Как сумел, так и описал, уж не обессудьте, ошибки в рассуждениях возможны.
PS-2. Часть обсуждения перенесена из
https://www.pgpru.com/forum/an....._comments=1#comments[link1] и
https://www.pgpru.com/forum/an....._comments=1#comments[link2]
и пока писал здесь, там уже что-написали.
— meticulous (23/03/2015 02:04, исправлен 23/03/2015 02:09)   

Из написанного "там":


В Linux вы вообще ставите только пакеты, заверенные электронной подписью из официального дистра. Ну или, дополнительно из доверяемого проекта (Torproject).

Скажу вам даже больше: как старый гебист :)) я вообще никому не доверяю.
Ни подписям создателей софта, которых я в глаза не видел, ни Tor'у, ни проектам, которые содержат в своем названии слово "траст" (и трастовым банкам в том числе), ни кому вообще, даже Мюллеру. Потому что каждый человек это такая сволочь... стоит только погрузить его в соответствующие условия (пожалуй, не стоит развивать этот щекотливый вопрос дальше).


Но пользоваться приходится, и поэтому и в IT по возможности применяю наш старый "добрый" метод: каждый софт обязан стучать друг на друга, и только в этом случае мы получим лишь относительно объективную картину ситуации и происходящих в ней процессов.


PS. "Доверие" – это вообще чистое безумие.
Или иезуитский прием, чтобы облапошить собрата.

Гость (23/03/2015 02:50)   
meticulous, а себе вы доверяете?

В общем, вы правильный тезис излагаете (доверяй, но проверяй) в хардкорном формате.

И как быть простому параноику?
Лечить паранойю.

Скажу вам даже больше: как старый гебист
Здравия желаю, товарищ старый гебист. Помните меня? Ну, Ялта, 72 год, 14 июля? Мимо нас еще мамаша с коляской ходила, а там малыш был такой противный с флажком СССР в руке (знал бы тогда, что там Гиркин, удавил бы на месте) Если припоминаете, то заходите, посидим, чаёк попьём, код попишем, софт потестим, в танчики поиграем.

Проблема meticulousа в том, что он напоминает типажа из онекдота: скажите, уважаемый, а другого глобуса у вас нету?
Гость (23/03/2015 04:32)   

Снифер + нотификатор, что может быть сложнее?


А ещё более хитрая часть колонны перехватывала ваш пароль при входе в браузере, а потом пользовалась им для слива инфы.


Вы очень похабно исказили идею того, что хочется. Правильно сформулированный вопрос есть половина ответа.


Для начала не пользовать Gnome-2, а установить минималистичный оконный менеджер. fluxbox или openbox какие-нибудь, следуя примеру SATtva'ы и unknown'а.


Снифер (tcpdump или wireshrak) + нотификатор. Можно одним скриптом выуживать данные, а другим отображать из через osd_cat.


Есть пример реалистичных правил iptables [1][link3], там в логах всё пишется, что пожелаете. Время от времени выполняете в консоли под рутом iptables-save -c и смотрите счётчики пакетов на log-правилах. Если там не [0:0], то выполняете
# cat /var/log/syslog |grep метка
и смотрите, какие именно пакеты были заблокированы (про программу там ничего написано не будет, но идентификатор юзера, который послал пакет, будет иметься). Можно ещё лучше автоматизировать, если кому-то хочется. Через root-tails или osd_cat писать последние системные логи, список текущих сетевых соединений (в реальном времени), выводы со снифера, логи чата... всё, что хотите — вот пример[link4]. На самом деле, при правильно организованном десктопе это, скорей всего, всё сплошное ненужно, но не буду вдаваться в подробности. Помимо osd_cat можно выводить информацию через conky, gkrellm (есть на скрине) и другие нотификаторы.

Есть скрипт-команда[link5], которая пишет в терминал в реальном времени все соединения, идущие не на заданный список IP:порт/протокол, только учтите общий момент: снифер сам по себе, блокирование правил — само по себе. Снифер покажет пакет, даже если он был заблокирован. Вам поидее нужна обработка вывода обоих. Я не знаю, есть ли готовые простые инструменты под эти цели (с GUI и всем остальным), наверняка есть, поищите. Ключевые слова вам были даны.


Помним тебя флудер, помним [2], [3][link6], [4][link6], [5][link7]. Помолчать можешь? Спасибо.
Гость (23/03/2015 06:36)   

Спасибо, что не забываете. А зачем два раза приводить один коммент? Выборка кончилась?


Могу. Только этим и занимаюсь в основном.


Не за что. И вы заходите — посидим, чаёк попьём, код попишем, LC посмотрим, софт потестим, в танчики поиграем — кораблики с самолётиками попускаем.
— unknown (23/03/2015 09:34, исправлен 23/03/2015 09:35)   

Я честно предупредил, что вы хотите странного, в любом случае — как-то оно заработает. Насчёт того, повысится ли от этого безопасность — вопрос спорный.

— meticulous (23/03/2015 17:54, исправлен 23/03/2015 17:55)   
Снифер + нотификатор, что может быть сложнее?

Наверное, несложно, раз вы так спрашиваете. Тогда почему не видно этих решений в массовых ОС?
(на всякий случай еще раз отмечу, что речь в этом топике идет сугубо о Linux).


А ещё более хитрая часть колонны перехватывала ваш пароль при входе в браузере, а потом пользовалась им для слива инфы.

Хотел об этом написать, но потом решил доставить вам удовольствие лишний раз меня пнуть за упущение :)
Все же таких хитрых вредоносов в удельном отношении меньше. И кстати, не знаю, как передается логин/пароль от браузера на прокси – если по httpS, то они получат обломус.


Вы очень похабно исказили идею того, что хочется. Правильно сформулированный вопрос есть половина ответа.

Ну извините, как сумел.


Для начала не пользовать Gnome-2, а установить минималистичный оконный менеджер. fluxbox или openbox какие-нибудь, следуя примеру SATtva'ы и unknown'а.

Обычно так и поступаю, используя LXDE или XFCE. Но в данном случае указал Gnome по той причине, что под него больше прикладного софта, и шансов найти нужный мне для решения описанной задачи больше.
Хотя, конечно, можно юзать тот же LXDE, а нужный софт, если таковой найдется под Gnome, подтянет только нужные ему гномовские библиотеки.


Снифер (tcpdump или wireshrak) + нотификатор. Можно одним скриптом выуживать данные, а другим отображать из через osd_cat.

Еще раз хочу обратить внимание, что хочу не просто решить описаную задачу по "пятой колонне", но решить ее, скажем так, красиво. Потому что красиво это синоним удобства и юзабельности, а в данной задаче – и вовсе целесообразности.
Поскольку я провожу время в Интернете используя Firefox/TBB (а не Lynx/Elinks), то хочу получать результаты в той же среде, что и они. Поэтому всякие там скрипты в мрачной консоли меня совершенно не прельщают – это все-таки не сервер, а десктоп.. Тем более, что в виндовозном KAVP/NOD32 эта красота присутствует как наглядный и дразнящий пример.


Есть пример реалистичных правил iptables [1], там в логах всё пишется, что пожелаете.

Есть скрипт-команда, которая пишет в терминал в реальном

и т.д.


Аналогично. Еще раз: я хочу получать результаты в той же среде обитания, в которой провожу время, и не переключаться на консоль.
Иными словами – хочу получать результаты в GUI. При этом логи активности "пятой колонны", да и попыток внешних второжений удобно читать в виде веб-страниц, но всплывающие real-time сообщения – только в GUI-окошках на переднем плане, иначе их никто не заметит.
Помимо юзабельного представления, хотелось бы иметь хотя бы небольшой предварительный анализ событий, скажем, соответствующие комментарии к событиям.


Я честно предупредил, что вы хотите странного, в любом случае — как-то оно заработает. Насчёт того, повысится ли от этого безопасность — вопрос спорный.

Да-да, спасибо, конечно за предупреждение. Но оно ведь не решает поставленную задачу, и проблема остается в силе.


Я не знаю, есть ли готовые простые инструменты под эти цели (с GUI и всем остальным), наверняка есть, поищите.

Вот! Это ключевое определение проблемы. Под "GUI и всем остальным" – такого нету.
По крайней мере мне найти не удалось, иначе бы не тратил свое и ваше время на эту дискуссию, которую затеял после длительных поисков.

— SATtva (23/03/2015 18:07)   

Линуксовый софт способен работать под любым WM/DE. Исключение — это только приложения, являющиеся составной частью конкретной DE (типа какого-нибудь Okular для KDE), причём даже их зачастую можно запускать в сторонних DE, просто для установки они потащат за собой весь родной DE, что обычно нежелательно.
— unknown (23/03/2015 20:30, исправлен 23/03/2015 20:36)   

Это ирония, всё достаточно сложно. SELinux — это свой метаязык с компиляцией модулей, подгружаемых с ядром. AppArmor — замороченные методики списков. И всё в таком же духе. Как чего-то отловить с дампов снифов трафика — не представляю, есть какой-то греп для tcpdump, но это поиск иголки в стоге сена. Да и зловред сначала получит локальные права, затем замаскируется скорее под плагин к браузеру, будет заворачивать свой трафик в Tor или HTTPS. Можно всё логировать и разбирать дампы всей активности, тогда на час работы в сети у вас будет уходить несколько часов ручного разбора полётов. Или закрутите гайки файрволом iptables по максимуму, чтобы всё подозрительное он скинул в лог. Тогда вам к консоли и сисадминству понадобится ещё масса скиллов по парсингу (python или perl).



Ну тогда эта система не для вас. Вообще, чтобы обнаружить взлом и компрометацию системы нужно понимать как она работает. И уметь самосостоятельно её собрать и разобрать с завязанными глазами.
Если кто-то напишет что-то для безопасности и будет заморачиваться с графическими оболочками, то я бы посчитал это дурным знаком. Ладно там, развлечения всякие, но серьёзные системные вещи — строго через консоль. Исключение — TBB и то, этого очень сильно требовала массовость распространения. Ну ещё к SELinux есть какие-то бесполезные граф. оболочки, потому что АНБ Red Hat одно время очень сильно продвигала его в корпоративный сектор. Вот только все рецепты в оффблоге разработчиков опять таки про консоль.


Вы всё хотите влезть на ёлку, ничего себе не ободрав. И безопасность в Linux достигается не разведением троянов с последующими попытками их отлавливать. Ещё про аудит взлома серверов я могу что-то представить, почитайте что-нибудь про это.

Гость (23/03/2015 22:16)   

В этом деле никакой конкуренции западных производителей НЕТ. В каждом посылаемом шпионском пакете данных они передают свои метки по которым друг друга опознают и не стучат на шпионаж друг друга. Единственный выход: ставить внешние аппаратные схемы с собственноручно написаным ПО, просеивающим пакеты.
Гость (24/03/2015 00:46)   

Потому что почти никому не нужно.

должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.

Класс B3[link9] — довольно высокий уровень, нет этого в ОС общего назначения.


Я тоже вам могу предоставить удовольствие повариться в собственном соку без связи с внешним миром, разбирайтесь в своих «хочу» сами.


Какой вы наивный. Пароль будет перехвачен в момент ввода по типу этой[link10] или подобной процедуры, а не по сети.


Это и плохо. Это не оконные менеджеры (тем более, минималистичные).


Это удобно, юзабельно и красиво, в чём проблема?


При чём тут Lynx или elinks? Вы пишете скрипт, а результаты он, когда запущен, будет отражать, как захотите: может обои менять, может текст поверх всех окон выводить (osd_cat), может писать текст поверх обоев (root-tails). Как заскриптуете, так и будет. Наверняка есть рисовалки и с полноценными окошками, но для нотификаторов это, IMHO, хуже, чем прозрачные надписи поверх всего, не засланяющие основной текст окон. Поставьте пакет xosd-bin (или xosd, см. как он у вас в дистрибутиве называется), выполните в консоли echo "test" | osd_cat и увидете результат. Ваша цель — подсунуть вместо test нужный текст. Недавно на сайте пример был[link11] на эту тему.

Сегодня вам хочется одно, завтра — другое, послезавтра — третье, и что, будете под каждый чих готовое чьё-то GUI искать и ныть потом, что работает оно не так, как хотелось бы? Не проще ли разобраться с написанием скриптов и реализовать свои хотелки на шелле? Это полезный навык, пригодится ещё не одну тысячу раз при автоматизации тех или иных задач.


Так и не надо будет переключаться.


Формируйте скриптом txt- или html-файл, открывайте его потом, чем угодно.


Отлично, osd_cat делает это. Покурите его.


Ну какие описания вы напишете в скрипте, такие и будут.


Автору это ненужно. Он же сказал, простейший нотификатор в стиле того, что в мандриве было.


А ему больше и не надо. :)


Такие ситуации отлавливаться не будут. Предполагается, что никаких целевых эксплоитов нет и поиск идёт либо незлонамеренных утечек, либо злонамеренных, но глупых и отлавливаемых. По сути нужно время от времени парсить вывод netstat и писать список соединений, а также парсить вывод заблокированных пакетов и выводить их через osd_cat или ещё что. Задача решается за день. Можно наворотить удобств всяких в парсинге и его преобразовании, но это уже кто как пожелает, у каждого будут индивидуальные требования.


У него ж не корпоративная сеть, чтоб были такие сложности. Случайные утечки можно вручную разобрать. Я могу рассказать про успехи своего аудита. Пакетов много, но событий не так много. Либо это запуск приложения, которое пытается сделать DNS-резволинг напрямую, поэтому попытка оседает в заблокированных логах, либо при получении почты шлётся на loopback-интерфейсе нотификационный UDP-пакет на 512-ый порт (даже не подозревал, что такое есть). Больше никаких утечек обнаружено не было. По сути и то и то является штатной ситуацией. На да, я знаю, что при получении почты, к примеру, такое возникает, а при запуске какого-нибудь Psi возникает сифон по DNS. Но ничего нового из логов я на протяжении недель не узнаю, хотя время от времени в них заглядываю. Зачем мне нотификатор? Было бы интересней анализировать внешнюю активность по сниферу, чтобы знать, кто вас сканит и насколько интенсивно, но это уже другая задача.


+1
Гость (24/03/2015 01:15)   
Меня очень интересует, как противостоять закладкам в арендуемом ПО, о которых явно написано в EULA со смыслом "не нравится слежка – не пользуйтесь нашим ПО".
— meticulous (24/03/2015 02:11)   
Ну тогда эта система не для вас. Вообще, чтобы обнаружить взлом и компрометацию системы нужно понимать как она работает. И уметь самосостоятельно её собрать и разобрать с завязанными глазами.

А она и не для меня. Она должна быть для всех, даже неподготовленных пользователей. Поэтому она должна быть на уровень выше – если не по интеллекту, то по крайне мере по степени ее совершенства.

Если кто-то напишет что-то для безопасности и будет заморачиваться с графическими оболочками, то я бы посчитал это дурным знаком. Ладно там, развлечения всякие, но серьёзные системные вещи — строго через консоль.

unknown, похоже, у вас сугубо монохромное видение :)
Я ведь совершенно точно определил, чего же я хочу:

Иными словами – хочу получать результаты в GUI.

Но раз не обратили на это должное внимание, расшифрую:
– все системные задачи как выполнялись, так и выполняются в консоли.
– графические оболочки – это только для отображения, потому что графика удобнее воспринимается. Иными словами, отображением занимается фронт-енд, который не несет функциональной нагрузки, а лишь базируется на результатах работы "строго консольных программ".
Это классический вариант современного слоеного пирога в Linux – фронт-енды и
консольные системные и прикладные программы.

К примеру, есть хорошо известная система обнаружения вторжений Snort.
Но она консольная, и поэтому ее используют большей частью на серверах.
Однако создатели ClearOS, в отличие от скептиков pgpru, не поленились и написали к ней замечательный фронт-енд с web-отображением, и пользоваться системой Snort стало намного удобнее в разы. Так что же, создатели ClearOS, по вашему, дураки?
Между прочим, это не единственный пример.

В этом деле никакой конкуренции западных производителей НЕТ.

Точно? Сноуден подтвердил? Тогда печально.

Гостю (24/03/2015 00:46):
Во многом вы правы, возражать не стану. Но вы напираете как типичный фанатик Линукса, который на любое замечание парирует однообразно: "Тогда сделай сам!"
Как вы не поймете, что есть создатели софта, а есть его потребители, и последние могут только расчитывать на то, что кто-то для них сделает – ну не умеют они создавать, а и не нужно им это вообще! Зато они умеют что-то другое, например, администрировать сети, писать стихи или вышивать крестиком, но они ведь не требуют, чтобы это умели все, не так ли?
Что до вашего "скриптоваяния". На мой взгляд, это занятие крайне вредное, если его распространять на всех. Для себя, любимого – пожалуйста, но навязывать его всем – извольте создавать полноценный софт, а не костыли, которые крайне зависят от любого чиха в системе – догадываетесь, о чем я?

Короче. Насколько понял, никто полноценного решения в рамках этой задачи, кроме набивших оскомину советов "сделай сам" и ремарк "сам дурак", не знает?
— meticulous (24/03/2015 02:46)   
Мда. Снова получилось легендарное: хотел как лучше, но на pgpru получилось как всегда.
То есть, вдоволь надискутировшись здесь до хрипоты, похоже, сам нашел нечто обнадеживающее, а именно:
– упомянув здесь походя давно известный Snort, затем пошел глянуть, какие подвижки с ним произошли за последнее время.
Оказалось, что на его базе уже успели наклепать множество фронт-ендов – как раз то, что мне нужно!
Правда, они оказались не просто фронт-ендами, а целыми дистрибутивами для контроля сетевой безопасности: Лучшие дистрибутивы linux для мониторинга безопасности сети[link12]

Это, разумеется, не совсем то, что мне нужно, но возможно, кто-то догадался изобрести фронт-енд для Snort для совместного использования на десктопе.
Бум искать...
Гость (24/03/2015 10:13)   
Как уже отмечено в другой теме, самое простое это использовать прокси для ограничения выхода в сеть и логирования трафика. Но в случае squid такое решение имеет минусы

1. Не учитывается UDP
2. Нет штатной опции чтобы указать SOCKS в качестве родительского прокси. Это решаемо, но возникает более серьёзная проблема – невозможность изолировать трафик приложений по Tor-цепочкам с помощью SOCKS-авторизации.
3. Громозкое приложение, предназначено в первую очередь для кеширования, которое не нужно при пользовании тором.

В идеале нужен легковесный HTTP-прокси (как privoxy), способный также пропускать UDP, с развитыми средствами логирования и контроля доступа (как squid), стоящий между приложениями и тором. Тогда весь веб-трафик будет подробно записываться по URL для каждого HTTP-запроса. Любое не-HTTP приложение, включая почту, мессенджеры и пиринговые клиенты можно туннелировать через HTTP-прокси методом CONNECT с помощью имеющихся проксификаторов (например proxychains), а для UDP использовать свои соксификаторы (например socksify).

Есть ещё вариант использовать SOCKS-сервер (например dante), но он не даёт такую подробную статистику для HTTP-трафика (по URL), пишет только хост и порт. Изолировать Tor-цепочки правила ACL вроде позволяют, но сам не проверял.

Кроме контроля трафика, можно создать базу данных хеш-сумм важных файлов системы (исполняемые, библиотечные, конфигурационные и т.п.) и регулярно их проверять. Для этого существуют специальные программы – Tripware к примеру.
— unknown (24/03/2015 10:55, исправлен 24/03/2015 10:55)   

Если что-то кэшировать до заворачивания в Tor, то может закэшироваться ответ, полученный на предыдущей цепочке — очень специфический различитель.



Лет 10 назад использовал AIDE. Мазохизм тот ещё. С учётом того, что для реальной безопасности это надо делать на выключенной системе, примонтировав её, загрузившись с другого носителя.

— meticulous (25/03/2015 02:07, исправлен 25/03/2015 02:23)   

Из найденных идейных борцов с "пятой колонной" (а также с внешними врагами) пока остановился на этом дистрибутиве: EasyIDS[link13], поскольку он кое-кого мне напомнил.
Качать его отсюдова[link14].


Из беглого знакомства с сайтами и разворачивания в VirtualBox обнаружилось следующее:


1. Проект не имеет никакой документации, даже неоткуда было узнать логин/пароль для в веб-панель.
2. Последняя версия EasyIDS застыла на отметке 0.4 еще в 2009 г.
Ее исошник занимает 525 Мб.


Из вышесказанного следует, что проект заброшен.
Однако остальное понравилось:


3. Дистрибутив разворачивается на отдельном 2-карточном сервере.
4. Основан на стареньком CentOS 5.2, однако без проблем обновился до 5.11.
5. Установился без проблем и довольно шустро.
6. После установки и запуска долго занимался какой-то внутренней самонастройкой (по консоли долго бежала уйма непривычных для CentOS строк), затем еще раз ребутнулся и был готов к работе.
7. Пришлось долго соображать, какой же пароль доступа к веб-панели.
Оказалост эксклюзивное сочетание: admin/password
8. Веб-панель произвела довольно благоприятное впечатление: простая, лаконичная и понятная.


Снял ее наиболее характерные скриншоты:


http://savepic.net/6542596.htm
http://savepic.net/6531332.htm
http://savepic.net/6530308.htm
http://savepic.net/6536452.htm
http://savepic.net/6534404.htm
http://savepic.net/6522116.htm
http://savepic.net/6514948.htm
http://savepic.net/6513924.htm
http://savepic.net/6520068.htm
http://savepic.net/6516996.htm
http://savepic.net/6506756.htm
http://savepic.net/6505732.htm
http://savepic.net/6510852.htm
http://savepic.net/6498564.htm
http://savepic.net/6496516.htm
http://savepic.net/6502660.htm
http://savepic.net/6503684.htm
http://savepic.net/6490372.htm


Скриншотов могу еще добавить.


Это мой микровклад в ваше знакомство с EasyIDS.


И теперь, господа безопасники, просьба к вам: оцените, пожалуйста, по этим данным – достойный ли этот продукт, достаточно ли его возможностей по нынешним временам, можно ли на него опереться, и т.д.
С Tor'ом, насколько понимаю его функционал, он целиком совместим (имхо).

Гость (25/03/2015 05:08)   
ntop, rddtool, arpwatch, snort и остальное можно установить на любой машине без привязки к недокументированному и заброшенному дистибутиву. Единственное отличие – веб-интерейс, объединяющий использование разных программ, но не факт что это лучше их обычного запуска.
Гость (25/03/2015 07:44)   
список борцов[link15]
Гость (25/03/2015 08:07, исправлен 25/03/2015 09:18)   

Пиз*ец. Многие вещи правильнее всего решать самому. Я решаю, например. Чем вы хуже?



Тогда пусть сидят без безопасности. У всего есть цена, пора бы уже понимать.



Вообще-то умение писать на шелле (а зачастую ещё и перле) — пререквизит для любого администратора UNIX/Linux/сетей. Как без этого администрировать-то? Там всё на скриптах, их надо понимать, уметь фиксить и при необходимости писать свои. Точно так же администраторы винды должны уметь писать батники, а, по-хорошему, ещё и знать виндовый шелл.



Я вижу, не в коня корм пошёл, как всегда. Тебе показали примеры скриптов — ты хоть один скопировал? Попытался понять, отредактировать под себя? Тебе указали на osd_cat — ты хоть один запрос в гугл в вбил, чтобы прочитать, что это и зачем? У тебя софт был на мандриве — ну отлично, а что, нельзя найти его название? В крайнем случае можно установить старый дистр и вычислить, что это было, потом поискать его под современные версии ОС. Что-нибудь из этого было сделано? Нет, ты и палец и палец не стукнул и даже не собирался, пришёл сюда просто поныть.


У других триггер моментально срабатывает: если чел ноет, и большая часть его вопросов снимается изучением матчасти, значит, помогать не надо. Т.к. если при всё этом он не снизошёл до изучения этой самой матчасти, значит, тому есть фундаментальные причины, которые всё равно вылезут, хоть ты ему запомогайся. Да, можно ответить на любой бред формальным точным развёрнутым ответом, как я это сделал выше, но это не поможет, ибо причины не в конкретике, причины лежат глубже.



И теперь, господин meticulous, продолжай как-нибудь сам, без нас. Кормить тебя и развлекать не будем. Можешь развозить сопли о том, какие все линуксовые фанатики идиоты, зазнавшиеся, ничего из себя не представляющие и не понимающие, и всё остальное. Лично мне пофиг. Хочется запомнить этот пост, т.к. чувствую что ещё не раз придётся его процитировать.

Гость (25/03/2015 20:57)   
ntop, rddtool, arpwatch, snort и остальное можно установить на любой машине без привязки к недокументированному и заброшенному дистибутиву.

Можно. Но не нужно.

Единственное отличие – веб-интерейс, объединяющий использование разных программ, но не факт что это лучше их обычного запуска.

Вот именно. Веб-интерфейс в графике для отображения гораздо лучше. Если нет – юзайте Lynx в консоли при серфинге в Интернете. Может, у вас найдутся благодарные последователи.

Пиз*ец. Многие вещи правильнее всего решать самому. Я решаю, например. Чем вы хуже?

Потому что вы узкий специалист. Времена, когда каждый лепил себе для каждой своей задачи самописный самокат и трубил на весь свет, выдавая как уникальное достижение, прошли еще в прошлом тысячелетии.
Но некоторые в нем так и остались. Так и не поняв, что уникальность – быстропреходящее понятие и бич IT. А главный двигатель развития – унификация подходов и технологий.

Тогда пусть сидят без безопасности. У всего есть цена, пора бы уже понимать.
Пора бы уже давно понять, что есть множество софта, и задача пользователя не написать новый, а подобрать из них наиболее подходящий для решения задачи.

Вообще-то умение писать на шелле (а зачастую ещё и перле) — пререквизит для любого администратора UNIX/Linux/сетей. Как без этого администрировать-то? Там всё на скриптах, их надо понимать, уметь фиксить и при необходимости писать свои. Точно так же администраторы винды должны уметь писать батники, а, по-хорошему, ещё и знать виндовый шелл.

Судя по этим представлениям, вы начинающий то ли администратор, то ли программист, который изучил скриптоваятельство и суется с ним куда надо и не надо. Уже много лет прекрасно обхожусь без скриптов и не испытываю никаких трудностей.
Создание скриптов – это вынужденный, последний бастион решения задачи, когда уже никак по другому ее решить нельзя.

Я вижу, не в коня корм пошёл, как всегда. Тебе показали примеры скриптов — ты хоть один скопировал?

Ему про Фому, а он про Ерему. Я вижу, что ты еще тупее чем я. Сказано уже не раз, повторю более доходчиво: засунь свои скрипты себе сам знаешь куда!
И выучи хотя бы понятие, что такое системная интеграция и ее место в современной IT-индустрии, и попробуй найти в ней свои самописные скрипты.

И теперь, господин meticulous, продолжай как-нибудь сам, без нас.

Не стоит натягивать на себя гандон тогу римского императора и расписываться за всех.
Иначе будешь послан далеко и надолго как носитель фекалий с плохо работающим сфинктером.
Не сунься ты в эту тему, кто-то возможно и дал конструктивные рекомендации, но после твоих испражнений сюда противно заходить.
— SATtva (25/03/2015 21:03)   
Вброс не засчитан.
— meticulous (25/03/2015 21:32)   
SATtva, а почему вы удалили мой последний коммент?
— SATtva (25/03/2015 21:36)   
Правила, п. 2.b.v. Но и предыдущий Ваш пост так толст, что у меня руки чешутся.
— meticulous (25/03/2015 22:02)   
Да пожалуйста, я не против, даже "За", но тогда удалите и пост Гостя (25/03/2015 08:07), который устроил этот срач, а мне пришлось огрызаться – вынужденая ответная мера.
Если бы вы его удалили сразу, то был бы полный порядок.

Да – пост Гостя (25/03/2015 20:57) это тоже мой, просто не заметил, как выбросило из сесии.

Так что прошу вас удалить все, что следует за Гостем (25/03/2015 08:07) включительно.
Гость (26/03/2015 02:06)   

Не дал бы. Конструктивное по общим темам здесь пишут три человека: SATtva, unknown и я; но все они уже высказались. По узким продвинутым темам ещё иногда могут высказаться gegel и sentaus, но здесь не тот случай.
Гость (26/03/2015 02:14)   

Если сильно надо, запускать в чистых гостевых ОС в виртуалке. Доступ к сети рулится на хостовых ОС. Потенциально так можно запускать хоть программы требующие рутовый доступ, если сильно надо.
— unknown (26/03/2015 09:30)   
Если meticulous хочет именно отслеживать поведение подозрительных и недоверяемых программ — то AppArmor[link16] ему хватит более чем. Удобных средств для непродвинутых пользователей нет, для таких задач они {средства, пользователи} ненужны. Если в условно-свободной операционке чего-то не хватает, то этого иногда и не нужно, а если вам всё-таки нужно, то (не всегда конечно, но) может быть и вы ненужны; раз вам такое нужно, значит вы просто хотите ненужного, ну или пишите свой велосипед сами. Здесь не коммерция, не любой каприз за ваши деньги и спрос не определяет предложение. Если вам всё это кажется идиотизмом и недостатком системы открытой разработки, то во-первых — это оборотная сторона её достоинств, во-вторых — там есть гораздо более серьёзные идиотизмы и недостатки, которые по сравнению с этим ещё цветочки. Так что готовьтесь к моральным испытаниям, воспитывайте в себе стоицизм, а не нытик-потребительство.
Гость (26/03/2015 09:58)   

Ссылка точно правильная?
— unknown (26/03/2015 11:43)   

Это пример использования.
— meticulous (26/03/2015 22:54)   
Если meticulous хочет именно отслеживать поведение подозрительных и недоверяемых программ

Вы меня совершенно неправильно поняли, unknown, наверное как и другие.
Я не хочу отслеживать поведение программ, анализировать его, сочинять для них правила безопасности и т.д.
Я хочу совсем другого – чтобы этим занимался кто-то другой.
В данном случае – сам компьютер (софт). Ведь этот помощник человека и так уже решает миллионы задач для человечества десятки лет, так почему бы ему не заняться еще и этой задачей? Тем более что компьютер как тупая машина наилучшим образом подходит для решения рутинных повторяющихся задач – в отличие от человека, который в них быстро утомляется.
Соответственно прогресс идет как в усложнении решаемых задач, так и перекладывания их с человека на компьютер. Например, машинный код --> ассемблер --> ЯВУ.
Неужели здесь кто-то будет с этим спорить? Надеюсь, что нет. Так какого ж фига некоторые здешние знатоки до сих пор пытаются решать задачи с помощи самописных скриптов?

Конечно, индивидуальными/уникальными решениями (нельзя их называют "костылями") можно решить все или почти все задачи, но какой ценой? Ценой отсутствия унификации, переносимости, т.е. мобильности, жесткой связи с особенностями настроенной системы и – неясной поддержки в будущем.
Область их применения среди пользователей чрезвычайно узкая, а время существования, как правило, заканчивается до следующей переинсталляции системы.
В противовес этим самопальным решениям есть продакшн, или промышленный подход, в котором нужны гарантии, и заморачиваться такой херней, как самописный софт, никто рисковать не захочет. Это детство в коротких штанишках.

В-общем, мою точку зрения вы поняли. В противовес самодеятельности есть другой подход, базирующийся на том, что ныне написано всякого целевого софта миллионы миллионов, и основная задача – выбрать из него наиболее оптимальный для конкретного случая.
Т.е., нужны не писаки, хвастающихся способностями написания скриптов на беше или составлением правил для iptables, а эксперты в области оценки и выбора софта – люди, которые, образно говоря, знают "что, где, почем".
И обратился к вам именно как экспертам, попросив оценить пригодность сначала ClearOS, затем EasyIDS, описав последний максимально подробно со скриншотами.
В ответ вместо оценки софта снова получил совет тщательно разбираться в системе.
самописать к ней скрипты.

Это совет общего плана, который свидетельствует о том, что и вы в этом вопросе безопасности тоже не разбираетесь, хотя как криптологи вы может очень сильны.

Рекомендуемый AppAmor посмотрел также и здесь – http://rus-linux.net/MyLDP/sec/apparmor.html
Вывод такой же — с ним тоже надо разбираться, создавать правила, примерно все как в SeLinux, т.е. тратить самый востребованный ресурс – время.

А теперь я вам всем дам аналогичный совет: чтобы бороться с вирусами – откажитесь от NOD32, KAVP, DrWeb, Symantec и еще с полсотней других антивирусных пакетов, а сядьте за написание скриптовых или других самописных антивирусных программ сами.

Не хотите? Это плохое предложение? Но зато ведь вы вы хорошо разберетесь, как устроена система, узнаете ее уязвимости, как их закрывать, и вообще, пополните свой бесценный багаж знаний и станете сертифицированным специалистом в антивирусной области!

Все равно не хотите? Вот и я не хочу. А ведь вы настойчиво предлагаете мне заниматься именно такой же херней – на фоне множества готовых продуктов по безопасности, которые нужно только выбрать, заниматься ручным нафиг никому не нужным творчеством.

Короче – слабаки вы тут по безопасности, как я посмотрю, даете лишь нерентабельные советы общего плана и не более того.
Поэтому к сегодняшнему дню и без вашей помощи я все-таки нашел для себя решение, которое не просто оптимальное, но и наилучшее в моей ситуации, поскольку в нем есть все то, что мне нужно – и отображение в веб-виде, и анализ атаки и уязвимостей, и даже их автоматическая блокировка.

Делится найденным с вами, видимо, нет смысла, поскольку оно вам неинтересно.
Ведь вы с блеском можете решить подобную задачу "самописными скриптами и тщательным изучением системы".
Так что куда уж мне, сиволапому, соваться к гуру со своими наивными советами.
— unknown (26/03/2015 23:32, исправлен 26/03/2015 23:37)   

Ну чисто, чтоб поржать.



Никогда бы себе не поставил и другим не советую. Зачем тащить в систему проприетарные трояны для борьбы с вирусами, когда в определённых системах проще вирусов изначально не разводить. Вообще, персональные файрволлы, антивирусы — уже полный набор симптомов, хотя вам вежливо и терпеливо с самого начала намекали, что неумение элементарно грамотно, связно и системно оформить свои мысли — это уже признак, что говорить будет, скорее всего, не о чем.



В промышленном подходе никто не заморачивается такой хернёй, как безопасность. У админа куча виртуалок и океан снэпшотов, когда что-то навернётся, он восстановит старую копию, в серьёзной системе никто никаких вирусов даже искать не будет, просто востановят всё начисто. А антивирусы — это для обслуживания хомячковой виндопочты, для манипуляций эникейщиков на десктопах, уже и для окучивания домохозяек со смартфонами, которым нужна видимость безопасности и прочему подобному контингенту.

— meticulous (28/03/2015 00:56)   
Никогда бы себе не поставил и другим не советую. Зачем тащить в <skip>

В промышленном подходе никто не заморачивается такой хернёй, как безопасность. У админа куча <skip>

unknown, когда прочел эти ваши последние откровения, то вначале просто опешил. Подумалось: может я настолько безнадежно отстал от этих новых веяний по безопасности, что не понимаю их?
Взял тайм-аут. Первый вывод, и он же вопрос: а что должен сделать ваш "промышленный" админ, когда что-то не навернется (тут согласен – снапшотами вопрос решаем), а заразится?
Откуда админ узнает, что система заразилась – вирусами, руткитами и т.д.? Она может вести себя в инкубационном периоде вполне прилично, а через месяц или через год наступит Армагедон. Так что же, админу держать ежедневные снапшоты на год??
Даже если соорудить такой неслабый бекап-дата-центр, то откуда админу знать, с какого именно снапшота восстанавливать систему и данные? Контроля-то за безопасностью нет, поскольку по-вашему он не нужен!

Это мой вопрос, больше возразить вам мне нечем.
Но поскольку вопрос по безопасности интересный, не поленился и позвонил знакомым руководителям отделов безопасности серьезных компаний, которые профессионально занимаются безопасностью, и попросил их прокомментировать ваш недавний пост.
Ознакомившись, выдали мнения. По смыслу они совпали. Поскольку отношусь к вашим знаниям и к вам лично, unknown, уважительно, озвучу их ответ очень кратко и без эмоций. Он звучит, уж извините, так: "Полная чушь".

Дискутировать дальше не буду. Свою задачу пришлось решить самому, тему можно закрывать. Главное для меня – обшелся без самодельщины, в Греции, если хорошенько покопаться, все есть.
И тем не менеее всем спасибо за участие в обсуждении.
— unknown (28/03/2015 01:22, исправлен 28/03/2015 01:23)   

Ну значит я сталкивался с другим промышленным подходом. Всё что можно (данные, отдельно конфиги после проверок) восстанавливали с бэкапов и снэпшотов, исходную систему же проще было накатить с нуля из резервного чистого образа. В особо ответственных случаях, даже просто переинсталлить. Никаким антивирусам не доверяли, им просто не было места в этом процессе.



Им же надо отчёты писать для оправдания своего существования. А где-то требуется такая безопасность, что эти отчёты и расследования инцидентов нафиг не сдались.

Гость (28/03/2015 17:58)   
Долго сидел с попокорном, ожидая, чем закончится этот творческий поиск. И вроде как он закончился, но непонятно чем, топикстартер темнит со своей находкой, IDS это, IPS или оба вместе, неизвестно.
Но даже если поверить, что решение найдено, тогда вопрос к счастливому искателю как вы собираетесь бороться к примеру хотя бы с этим?[link17]
Гость (29/03/2015 00:38)   
Действительно странно, читая тему слышать слова "напиши сам на шелле", "не-консольное ненужно и ему бы не доверял" и в то же время "теми средствами что есть (консольными) как искать иглу в стоге сена", после этого входишь в какое-то фрустрационное пике, будто все это ненужно, и знать о подозрительном поведении приложений, подозрительной сетевой активности – дурной тон. Или подобные задачи надежно и наглядно решаются стандартными инструментами и средствами? А если нет, то что за советы? Я не понимаю, неужели людям, которые озабочены безопасностью операционной системы, стойким шифрованием информации и каналов связи, анонимностью, не интересно, какой софт или методы/способы/софт/визуализация результатов присутствуют для решения подобного типа задач. Автор, выложите пожалуйста результаты вашего поиска, что найдено, что делает/не делает и тд.
— SATtva (29/03/2015 11:04)   

Те, кто озабочен безопасностью и стойким шифрованием, отдают себе отчёт, что если зловред уже попал в систему, то никакими припарками и расследованием инцидента нанесённый ущерб не исправить. Вся эта ритуалистика с IDS и incident response имеет смысл только в зарегулированной корпоративной среде: отчёты с результатами расследования позволят избежать исков от клиентов и наездов от страховщиков; необходимость обнаружения вторжений объяснима масштабами корпоративных сетей: зловред не успеет вытащить всё разом, есть шанс минимизировать ущерб, если отловить его на ранних этапах. Частному пользователю всё это ненужно, ибо лишено смысла.
Гость (29/03/2015 16:41)   

Интересно, но это, как если бы, вы имея много денег, пытались со всеми вокруг обсуждать как же их эффективно вложить. Эту задачу каждый решает для себя самостоятельно, т.к. у каждого свои исходные данные и конечная цель.
Гость (30/03/2015 03:25)   

Частному пользователю тоже полезно знать, атакуют ли его кто компьютер; если атакуют, то как; какие подозрительные пакеты в обход Tor были залогированы и т.д. Т.е. какой-то мониторинг был бы полезн, но не городьба полноценного IDS. IDS нужен там, где много чего открыто и уязвимо по умолчанию (иначе никак, корпоративка), а объёмы трафика таковы, что вручную его уже не разберёшь.
Гость (31/03/2015 15:58)   
Автор же признался, что он параноик, а таким все средства хороши.
Может, он последователь Сноудена? :)
Гость (31/03/2015 19:19)   
Может, он последователь Сноудена? :)

Берите выше – может он Сноуден?
Гость (02/04/2015 15:09)   
Те, кто озабочен безопасностью и стойким шифрованием, отдают себе отчёт, что если зловред уже попал в систему, то никакими припарками и расследованием инцидента нанесённый ущерб не исправить. Вся эта ритуалистика с IDS и incident response имеет смысл только в зарегулированной корпоративной среде: отчёты с результатами расследования позволят избежать исков от клиентов и наездов от страховщиков; необходимость обнаружения вторжений объяснима масштабами корпоративных сетей: зловред не успеет вытащить всё разом, есть шанс минимизировать ущерб, если отловить его на ранних этапах. Частному пользователю всё это ненужно, ибо лишено смысла.

Ну почему же, всегда так? Например на компьютере лежат научные разработки, для доступа к ним условный конкуренты нанимают какера, который посредством некого 0-day взламывает исконную машину, условно. Хотелось бы знать в таком случае, как произошел взлом, из-за какой уязвимости, когда, каакие-документы были похищены, а какие нет. Как минимум для этого необходимы вопросы, задаваемые автором, а то получается "меньше знаешь крепче спишь" какое-то. Или крайний пример, АНБ, которая как известно очень любознательна в отношении IT-специалистов, в таком случае критической является и сама информация о проникновении, и детали, так как могут быть получены ип, номера оборудования, прочие утечки коррелирующих данных, вообщем произведен полный деанон, а потому знание о подобных проникновениях является более чем необходимым.
— unknown (02/04/2015 15:33, исправлен 02/04/2015 15:34)   

Ну представьте, что весь трафик между защищаемой машиной и внешней сетью пишется. У вас есть его полный дамп, скажем за месяц. Чисто теоретически, как вы его собираетесь анализировать на предмет: сама информация о проникновении, и детали, так как могут быть получены ип, номера оборудования, прочие утечки коррелирующих данных? Если заранее не знаете, что искать.

Гость (02/04/2015 20:15)   
Например на компьютере лежат научные разработки, для доступа к ним условный конкуренты нанимают какера, который посредством некого 0-day взламывает исконную машину, условно.

Проще и надежнее тогда все ценное хранить на отдельной машине без доступа в сеть.
Гость (02/04/2015 23:20)   
Ну представьте, что весь трафик между защищаемой машиной и внешней сетью пишется. У вас есть его полный дамп, скажем за месяц. Чисто теоретически, как вы его собираетесь анализировать на предмет: сама информация о проникновении, и детали, так как могут быть получены ип, номера оборудования, прочие утечки коррелирующих данных? Если заранее не знаете, что искать.

Так в и этом заключена часть вопроса, есть ли автоматичекие/полуавтоматические средства для поиска определенный паттернов в массиве трафика, для того чтобы профильтровать его до приемлимого объема, который уже потом просматривать вручную. Хотя в целом вопрос не совсем про это. Для начала например смотреть список сетевых соединений в реальном времени, это уже позволяет на неком примитивном уровне отслеживать подозрительное, за этим следуют логи, та программа полезла туда, и так далее, а та не туда, записано в лог, непонятный процесс полез на сервера АНБ, аларм. Но это все мелкие брызги. В идеале это то, что описал автор темы, нужно хорошее визуальное представление всей подозрительной сетевой/програмной активности, с логировнием, и какой-то мониторинг входящих атак, чтобы их можно было вычислить, и проанализировать. А то получается тут конь не валялся, нет никакого грамотного мониторинга и анализа. Сам автор вроде что-то нарыл, но пропал.
— sentaus (03/04/2015 00:30)   
хорошее визуальное представление всей подозрительной сетевой/програмной активности, с логировнием, и какой-то мониторинг входящих атак, чтобы их можно было вычислить, и проанализировать.


Кто такими вопросами задаются, рано или поздно обучаются таки всяким селинуксам, аппарморам и т.п., не говоря уже о консоли. Нету массового спроса на gui в этом вопросе. Вот от вирусов почти все страдают, антивирусы делать прибыльно. А тут вообще неясно, какие у такого проекта перспективы.
Гость (03/04/2015 19:06)   
В идеале это то, что описал автор темы, нужно "хорошее визуальное представление" всей подозрительной сетевой/програмной активности, с логировнием, и какой-то мониторинг входящих атак, чтобы их можно было вычислить, и проанализировать.

Мне кажется, в этом гвоздь программы – "хорошее визуальное представление". Потому что если события даже чрезвычайно подробно представлены (как например, в tcdump), но не заточены под конечное восприятие наблюдателя, то разбираться в результатах будет очень сложно.
Но если наложить на это байтовое месиво грамотный фильтр, а то и толковый анализатор, разобраться в событиях человеку будут намного проще, и он будет меньше совершать ошибок, не говоря уже о продуктивности и усталости.
Хотя конечно, всегда найдутся садомазохисты, которые будут верещать, что hex-коды – самое лучшее представление инфорамции.
Гость (04/04/2015 20:15)   

   +1. Выше про то, что методы защиты корпоративных сетей плохо даунгрейдся на персоналки параноиков, правильно написали. Однако, у параноиков есть один важный козырь: не светить свой IP и ходить в сеть только через Tor. Это затрудник множество атак со стороны злоумышленников. Вместо того, чтоб делать продвинутый аудит, лучше сконцентрироваться на разделении информации между юзерами или гостевыми ОС в виртуалке. Аудит — это вторая степень защиты после того, когда правильное разделение прав доступа сделано.


   Уже давно[link18] не смешно. Есть яркий пример — анализ логов брутфорса по SSH: они прекрасно читаются текстом. Наверно, можно сделать и удобней, но как-то обходятся люди. Там есть встроенные методы ограничения засирания логов, настройки нужной степени verbosity и т.д. Я вот недавно свой лог читал за несколько месяцев и ничего, пролистал, всё стало понятно, выводы сделал. С помощью тулзов обработки текста (sed, awk, perl, cut, grep) однострочником, который пишется тут же на лету за несколько секунд, выцепляются те строчки в логах или те ключевые слова/поля, которые нужны. И подчеркну ещё раз основную мысль: всё делается попорядку, ко всему есть пререквизиты. Вы, не научившись ходить (владение консолью), хотите бить рекорды в беге на ходунках (глубокий аудит поведения системы, не предумсотренный стандартными средствами).
Гость (05/04/2015 01:10)   
Есть яркий пример — анализ логов брутфорса по SSH: они прекрасно читаются текстом. Наверно, можно сделать и удобней, но как-то обходятся люди. Там есть встроенные методы ограничения засирания логов, настройки нужной степени verbosity и т.д. Я вот недавно свой лог читал за несколько месяцев и ничего, пролистал, всё стало понятно, выводы сделал.

Вот-вот, это и есть садомазохизм. Хотя и вынужденный, по причине отсутствия нормального инструментария.

Вы, не научившись ходить (владение консолью), хотите бить рекорды в беге на ходунках (глубокий аудит поведения системы, не предумсотренный стандартными средствами).

А на кой она мне? Я консолью пользуюсь только там, где она действительно уместна, и не стараюсь рапространить ее на всё и вся.
Если я, к примеру, еду на Мерсе – так что, мне надо знать его устройство и историю создания от сохи? Мне вполне достаточно того, что XX век предоставил электронные устройства, которые анализируют и обрабатывают обстановку с датчиков, выдавая в удобном для водителя виде, и во многом автоматически управляют системой, не нагружая водителя.
Вы же всё как-то как-то тянете к примитивизму и каменному веку.
Давайте же откажемся от Иксов, от веба и прочих форматированных текстов, и будем работать только в консоли и только с plain-текстом, ура, товарищи!

Это и есть садомазохизм в чистом виде, как бы себя не лакировали.
— SATtva (05/04/2015 07:32)   

Голова, глаза и руки и есть нормальный инструментарий. Или Вам, чтобы книжку прочитать, тоже гуй нужен?
— sentaus (05/04/2015 15:42)   
Давайте же откажемся от Иксов, от веба и прочих форматированных текстов, и будем работать только в консоли и только с plain-текстом, ура, товарищи!

троллингдетектед! ;)
Гость (05/04/2015 17:59)   

Компьютер по своему функционалу — намного более сложное устройство, чем холодильник, мерс, истребитель или что там ещё вам придумается. У нас на эту тему был срач в одном топике, вот коммент[link19] оттуда. Предлагаю вам прочитать тот топ полностью.
Гость (05/04/2015 20:29)   
троллингдетектед! ;)

Это оно самое: когда у оппонента иссякают аргументы, они прибегают к этой неблагородному навешиванию ярлыков.
Которое в отличие от цивилизованного диспута доказательств не требует.
— unknown (05/04/2015 20:48)   

[off]
Замаскировывать троллинг под цивилизованный диспут — сложно и ресурсоёмко, не все владеют таким искусством.
[/off]
Гость (05/04/2015 21:12)   
[off]
Иезуитски извращать очевидную истину – еще хуже троллинга.
[/off]
— sentaus (05/04/2015 21:29)   
Это оно самое: когда у оппонента иссякают аргументы, они прибегают к этой неблагородному навешиванию ярлыков.

Оно самое – это детским максимализм. Например: может вместо каждой записи в логфайле показывать всплывающее окно – это будет так весело, когда их 1000 в секунду. :)
А серьёзно – будет относительно устойчивый спрос у домашних пользователей – что-нибудь и появится. Ну как игры под Linux
— unknown (06/04/2015 12:25)   
Кажется дошёл один момент: по мере распространения шифрованного трафика и возможностей маскировки одного трафика под другой, многие IDS, основанные на разборе содержимого пакетов, или концептуально устарели, или могут эффективно использоваться в очень узком числе случаев, как раз ближе к корпоративному и промышленному сектору: белые списки адресов; запрещено всё, что явно не разрешено и т.д.
— SATtva (06/04/2015 12:43)   

...SSLstrip-MITM-прокси с доверенными корпоративными сертификатами...
— unknown (06/04/2015 12:51, исправлен 06/04/2015 12:51)   

Концептуально есть способ лучше: Blindbox DPI[link20].

Гость (07/04/2015 03:09)   
[трололо]
Как в XXI-ом веке читать книжку без гуя? Как найти конкретную страницу из сотен возможных? Вручную перелистывать и искать методом деления пополам, стирая пальцы? Как найти нужную цитату? Читать всю книгу от начала, и пока цитата не встретится? Как переходить по ссылкам на другие страницы или главы? Снова вручную? Книги без гуя читать невозможно. Книги должны быть векторными и гипертекстовыми, это уже давно все поняли.
[/трололо]


Бывает и другой случай: OP настолько толст и спорит с настолько очевидным, а его аргументы настолько бредовы, что дальнейший взаимный троллинг дальнейшая дискуссия с ним не имеет смысла. В таких случаях ему говорят открыто, что он троллит. На самом деле, троллит если — это ещё не так плохой случай, как если он на самом деле считает так, как пишет. Со стороны это выглядит примерно так:

— Ты дурак!
— [аргументы]
— Ты дурак!
— [другие аргументы]
— Ты дурак!
— [ещё более веские аргументы]
— Ты дурак!
— Сам дурак.
— Это оно самое: когда у оппонента иссякают аргументы, они прибегают к этой неблагородному навешиванию ярлыков.
Гость (07/04/2015 04:37)   
Нет, не в этом дело. Просто когда-то давно, еще в совковое время, тщательно изучал одну серьезнейшую книгу зарубежного автора. К сожалению, ни самой книги, ни ее точного названия, ни автора не осталось.
Помню лишь ее приблизительное название: "Визуальное представление информации" или что-то в этом духе.

Эта книга еще докомпьютерной эпохи, и в этом ее ценность – она не засирала мозги компьютерными технологиями, а заставляла человека мыслить.

Вы же всего-навсего обыкновенные кодеры, технологи и т.п., и вам не понять этих глубинных вещей, пока не найдете эту книгу и изучите ее, и лишь тогда ваши закомпьютеризированные мозги у вас станут на место (хм, почему-то "закомпьютеризированные" ассоциируется с "протезированными", наверное, это "жжж" неспроста).

По большому лишь тогда вас можно допускать к программированию и другим технологиям. Иначе вы так и останетесь просто компьтерными ремесленниками.
Кстати, не надо на меня наезжать и оспаривать эту точку зрения, лучше найдите книгу, почитаем вместе.

А кому все равно невтерпеж поспорить – идите поспорьте с сообществом Силиконовой долины[link21]. Или они вам тоже не указ? :-)
Гость (07/04/2015 10:21)   

Ну да, куда уж нам до вас. Что характерно, с пеной у рта что-то утверждаете, но даже не знаете что именно. Если это что-либо стоящее, могли бы нагуглить похожие статьи по ключевым словам или дать ссылки на википедию. Но, в любом случае, противопоставлять визуальный подход и компьютерный — это уже само по себе клиника.
— loginuser (03/08/2015 20:54)   
1. Описать проблему побудило не до конца решенная задача борьба с внутренними врагами операционной системы.

А не поможет ли в этой неравной борьбе SELinux? Если я правильно понимаю все возможности данной системы, то она позволяет блокировать, разрешать и проводить аудит всего и вся в системе.
— pgprubot (04/08/2015 04:37, исправлен 04/08/2015 04:38)   

По-моему, с аудитом там как раз очень плохо: судя по отзывам, если что-то не работает из-за SELinux'а, крайне трудно найти причину.

— pgprubot (18/10/2015 07:38)   
На тему аудита: не то, чтоб он хорош, но вот это что-то[link22] (объяснения здесь[link23]) лучше, чем ничего. По крайней мере, оно даёт простые консольные ответы на ряд задававшихся в этом топике вопросов.
— pgprubot (02/11/2015 13:43)   

На эту тему попался на глаза интересный пост:

П[link25]оследнее время я стал встречать много людей, который настолько уверены в своем мнении, что убедить их никакими аргументами не представляется возможным. Кроме как сверхупоротостью назвать это нельзя. Почему такое происходит? Потому что технологии так быстро шагнули в нашу жизнь, что кроме как аспектами карго–оккультизма это назвать нельзя. Эти сверхупоротые видели, может быть по телевизору, или как то свернутым взглядом, что кто то делал "волшебство" одной кнопкой. Как примеры сверхупоротых — сделать красиво в фотошопе. Или "научи меня делать вот такое видео" и показывают видео, где судя по картинке рендеринг кадра должен длится год. Попытки объяснять про 3D графику, модели, рендеринг, про монтаж, даже про элементарный монтаж, про звук, аудио, подбор всего и вся — бесполезны. Эти люди уверовали, что существует некая кнопка или программа, которая все делает за них. Надо только ее скачать. Даже не купить, скачать, она обязательно есть на торрентах. Причем, как это обычно бывает, если ты такой программы не знаешь, значит что ты крайней степени нуб. Этот карго–оккультизм почти повсеместный. В электричке я слышал, как девушка объясняла другой девушке по Shezam. Никто не учит как сначала сделать простое, а потом постепенно перейти к сложному, вернее учат, но на такие правильные уроки никто не ходит. Всем нужна программа, которая бац бац и все сделала. Ты начертил эккиз дома, ну ты же можешь начертить 8 линий, ну вот, начертил экскиз — а потом нажал на кнопку и вуаля: дом сразу преобразовался в 3D модель, готова вся конструкторская, инженерная документация, просчитана электрика, вентиляция, построены эпюры напряжения и даже, это важно, просчитана смета по материалам. А чё ёё строить, чё там сложного то. Заложил все в базу данных и все. Просто программа должна уметь работать с базой данных. И такие есть, да.

Комментарий не про ИБ, но аргументы применимы и к ИБ: чтоб пользоваться программами, одних программ недостаточно, ещё матчасть надо знать.
— SATtva (02/11/2015 13:56)   
Кнопка "Сделать **здато" будет доступна в одной из будущих версий программы.
— тестерТьюринга (26/12/2015 09:18, исправлен 26/12/2015 09:21)   

Что курят чекисты, прослушивая выключенные телефоны и устанавливая наблюдение за пятой колонной Большого театра?

— meticulous (27/12/2015 16:07)   
Намедни, устанавливая приятелю Windows (на Linux не сумел его сагитировать), заодно познакомился с файрволом в Nod32 Smart Secirity.
Признаюсь: потекли злые слёзы от зависти... :(

Блин, ну почему в нём всё сделано по человечески??
Файер в риалтайме стучит на любую программу, вирус, которые пытаются прорваться наружу, указывает куда и по какому порту они рвутся, и позволяет тут же его забанить нафиг.

Ну почему в Linux до сих пор такого удобства нет??
Всё только aposteriori и в мрачных логах.
В поисках такой фичи я даже сделал насилие над своими привычками и переполз с CentOS на Debian, но и в нем такого не обнаружил...
— тестерТьюринга (27/12/2015 17:47, исправлен 27/12/2015 17:48)   

А Винда и Есет лицензионные? ;)


Номинальное наличие программ, в названии которых есть слово Security, не дает никаких гарантий. Большинство из них проваливаютдаже тесты[link26].

— meticulous (27/12/2015 17:52, исправлен 27/12/2015 18:22)   

Здесь веду речь не о лицензионности, а о наличии такой фишки – мониторинг утечек в риал-тайме.

— sentaus (27/12/2015 18:48)   
Ну почему в Linux до сих пор такого удобства нет??

А кому это надо?
— meticulous (28/12/2015 00:28)   
На сколь хитрый вопрос с каверзным подтекстом отвечу цитатой классика:) :
© Если звезды зажигают, значит, это кому-то нужно.


Из практики:если в Мандриве 2008 такой мониторинг сделали, значит, кто-то испытывал потребность в этом.
Другое дело, что потом его забросили, и то причине, что беспечным хомячкам это не было нужно.
И раз вы задаете такой странный для safe-man вопрос, то выходит, вы относитесь к ним? :-P
— pgprubot (02/01/2016 19:44, исправлен 02/01/2016 19:44)   

Потому, что там подход другой, культура иная. Юзер запускает в основном проверенный оупенсорсный софт без подстав, а не тысячи мелких программулек сомнительного происхождения с доступом в сеть. И даже этого оупенсорсного софта не так много — то, куда и когда он лазит, можно поизучать и через апостериорный анализ заблокированных пакетов в логах.



Обычный линуксовый софт есть под все популярные дистрибутивы. Чтобы проверить, что есть в качечестве готовых пакетов, ставить систему не надо — информация лежит на сайтах. В случае Debian это, например, packages.debian.org[link28] (помимо него есть ещё дополнительные неофициальные репы).

— Piano (28/04/2016 00:33)   
Уважаемый meticulous, судя по всему вы нашли подходящее готовое решение?
Большая просьба поделится :)
— гыук (28/04/2016 22:01, исправлен 28/04/2016 22:03)   

А вот чем не решение:
Поставьте "кричалку", ака НОД32, через wine. Вот такой волевой, а даже дерзкий, пассаж. Чем черт не шутит?

— Piano (28/04/2016 22:26)   
Ну вы и шутник, гыук! Браво! :)
Хотя это надо было в раздел Юмор.
— гыук (28/04/2016 22:46)   
Я не против.
О великий и могучий модератор, перенеси весь топ в Юмор! ))
— Tortaknado (15/05/2016 00:09)   
Уважаемый meticulous
какое решение вы нашли, подскажите пжл. сам уже долго ищу нечто подобное

Ссылки
[link1] https://www.pgpru.com/forum/anonimnostjvinternet/vseotbbtorbrowserbundle?p=54&show_comments=1#comments

[link2] https://www.pgpru.com/forum/anonimnostjvinternet/vseotbbtorbrowserbundle?p=55&show_comments=1#comments

[link3] https://www.pgpru.com/chernowiki/rukovodstva/administrirovanie/policybasedfiljtracijaiptables

[link4] https://www.linux.org.ru/gallery/big14rxMN.jpg

[link5] https://www.pgpru.com/comment82920

[link6] https://www.pgpru.com/comment65046

[link7] https://www.pgpru.com/comment65623

[link8] https://www.pgpru.com/comment90750

[link9] https://ru.wikipedia.org/wiki/Критерии_определения_безопасности_компьютерных_систем

[link10] https://www.pgpru.com/comment51610

[link11] https://www.pgpru.com/comment90521

[link12] http://unixzen.ru/лучшие-дистрибутивы-linux-для-мониторинг/

[link13] http://www.skynet-solutions.net/About-EasyIDS

[link14] http://sourceforge.net/projects/easyids/

[link15] http://bailey.st/blog/2011/03/22/top-network-security-monitoring-linux-distributions/

[link16] https://www.pgpru.com/novosti/2007/0827trojanvskypeforlinux

[link17] https://xakep.ru/2005/12/05/29023/

[link18] https://www.pgpru.com/comment90824

[link19] https://www.pgpru.com/comment16399

[link20] https://eprint.iacr.org/2015/264

[link21] http://origin-life.ru/blog/43158448136/SHkola-bez-kompyuterov.-Deti-rabotnikov-kremnievoy-dolinyi-uchat?tmd=1

[link22] https://www.pgpru.com/chernowiki/rukovodstva/administrirovanie/policybasedfiljtracijaiptables/analizlogoviptables

[link23] https://www.pgpru.com/comment94080

[link24] https://www.pgpru.com/comment91382

[link25] https://architects.dirty.ru/kakaia-programma-rasschityvaet-dlia-arkhitektrov-ne-tolko-planirovki-i-vneshnii-vid-no-i-soprotivlenie-materialov-876765/#15659937

[link26] https://www.anti-malware.ru/firewall_tests_history

[link27] https://www.pgpru.com/comment94373

[link28] https://www.debian.org/distrib/packages