"Пятая колонна": как с ней бороться?

Ссылка точно правильная?

Это пример использования.

Если meticulous хочет именно отслеживать поведение подозрительных и недоверяемых программ

Вы меня совершенно неправильно поняли, unknown, наверное как и другие.
Я не хочу отслеживать поведение программ, анализировать его, сочинять для них правила безопасности и т.д.
Я хочу совсем другого – чтобы этим занимался кто-то другой.
В данном случае – сам компьютер (софт). Ведь этот помощник человека и так уже решает миллионы задач для человечества десятки лет, так почему бы ему не заняться еще и этой задачей? Тем более что компьютер как тупая машина наилучшим образом подходит для решения рутинных повторяющихся задач – в отличие от человека, который в них быстро утомляется.
Соответственно прогресс идет как в усложнении решаемых задач, так и перекладывания их с человека на компьютер. Например, машинный код --> ассемблер --> ЯВУ.
Неужели здесь кто-то будет с этим спорить? Надеюсь, что нет. Так какого ж фига некоторые здешние знатоки до сих пор пытаются решать задачи с помощи самописных скриптов?

Конечно, индивидуальными/уникальными решениями (нельзя их называют "костылями") можно решить все или почти все задачи, но какой ценой? Ценой отсутствия унификации, переносимости, т.е. мобильности, жесткой связи с особенностями настроенной системы и – неясной поддержки в будущем.
Область их применения среди пользователей чрезвычайно узкая, а время существования, как правило, заканчивается до следующей переинсталляции системы.
В противовес этим самопальным решениям есть продакшн, или промышленный подход, в котором нужны гарантии, и заморачиваться такой херней, как самописный софт, никто рисковать не захочет. Это детство в коротких штанишках.

В-общем, мою точку зрения вы поняли. В противовес самодеятельности есть другой подход, базирующийся на том, что ныне написано всякого целевого софта миллионы миллионов, и основная задача – выбрать из него наиболее оптимальный для конкретного случая.
Т.е., нужны не писаки, хвастающихся способностями написания скриптов на беше или составлением правил для iptables, а эксперты в области оценки и выбора софта – люди, которые, образно говоря, знают "что, где, почем".
И обратился к вам именно как экспертам, попросив оценить пригодность сначала ClearOS, затем EasyIDS, описав последний максимально подробно со скриншотами.
В ответ вместо оценки софта снова получил совет тщательно разбираться в системе.
самописать к ней скрипты.

Это совет общего плана, который свидетельствует о том, что и вы в этом вопросе безопасности тоже не разбираетесь, хотя как криптологи вы может очень сильны.

Рекомендуемый AppAmor посмотрел также и здесь – http://rus-linux.net/MyLDP/sec/apparmor.html
Вывод такой же — с ним тоже надо разбираться, создавать правила, примерно все как в SeLinux, т.е. тратить самый востребованный ресурс – время.

А теперь я вам всем дам аналогичный совет: чтобы бороться с вирусами – откажитесь от NOD32, KAVP, DrWeb, Symantec и еще с полсотней других антивирусных пакетов, а сядьте за написание скриптовых или других самописных антивирусных программ сами.

Не хотите? Это плохое предложение? Но зато ведь вы вы хорошо разберетесь, как устроена система, узнаете ее уязвимости, как их закрывать, и вообще, пополните свой бесценный багаж знаний и станете сертифицированным специалистом в антивирусной области!

Все равно не хотите? Вот и я не хочу. А ведь вы настойчиво предлагаете мне заниматься именно такой же херней – на фоне множества готовых продуктов по безопасности, которые нужно только выбрать, заниматься ручным нафиг никому не нужным творчеством.

Короче – слабаки вы тут по безопасности, как я посмотрю, даете лишь нерентабельные советы общего плана и не более того.
Поэтому к сегодняшнему дню и без вашей помощи я все-таки нашел для себя решение, которое не просто оптимальное, но и наилучшее в моей ситуации, поскольку в нем есть все то, что мне нужно – и отображение в веб-виде, и анализ атаки и уязвимостей, и даже их автоматическая блокировка.

Делится найденным с вами, видимо, нет смысла, поскольку оно вам неинтересно.
Ведь вы с блеском можете решить подобную задачу "самописными скриптами и тщательным изучением системы".
Так что куда уж мне, сиволапому, соваться к гуру со своими наивными советами.

Ну чисто, чтоб поржать.

Никогда бы себе не поставил и другим не советую. Зачем тащить в систему проприетарные трояны для борьбы с вирусами, когда в определённых системах проще вирусов изначально не разводить. Вообще, персональные файрволлы, антивирусы — уже полный набор симптомов, хотя вам вежливо и терпеливо с самого начала намекали, что неумение элементарно грамотно, связно и системно оформить свои мысли — это уже признак, что говорить будет, скорее всего, не о чем.

В промышленном подходе никто не заморачивается такой хернёй, как безопасность. У админа куча виртуалок и океан снэпшотов, когда что-то навернётся, он восстановит старую копию, в серьёзной системе никто никаких вирусов даже искать не будет, просто востановят всё начисто. А антивирусы — это для обслуживания хомячковой виндопочты, для манипуляций эникейщиков на десктопах, уже и для окучивания домохозяек со смартфонами, которым нужна видимость безопасности и прочему подобному контингенту.

Никогда бы себе не поставил и другим не советую. Зачем тащить в <skip>

В промышленном подходе никто не заморачивается такой хернёй, как безопасность. У админа куча <skip>

unknown, когда прочел эти ваши последние откровения, то вначале просто опешил. Подумалось: может я настолько безнадежно отстал от этих новых веяний по безопасности, что не понимаю их?
Взял тайм-аут. Первый вывод, и он же вопрос: а что должен сделать ваш "промышленный" админ, когда что-то не навернется (тут согласен – снапшотами вопрос решаем), а заразится?
Откуда админ узнает, что система заразилась – вирусами, руткитами и т.д.? Она может вести себя в инкубационном периоде вполне прилично, а через месяц или через год наступит Армагедон. Так что же, админу держать ежедневные снапшоты на год??
Даже если соорудить такой неслабый бекап-дата-центр, то откуда админу знать, с какого именно снапшота восстанавливать систему и данные? Контроля-то за безопасностью нет, поскольку по-вашему он не нужен!

Это мой вопрос, больше возразить вам мне нечем.
Но поскольку вопрос по безопасности интересный, не поленился и позвонил знакомым руководителям отделов безопасности серьезных компаний, которые профессионально занимаются безопасностью, и попросил их прокомментировать ваш недавний пост.
Ознакомившись, выдали мнения. По смыслу они совпали. Поскольку отношусь к вашим знаниям и к вам лично, unknown, уважительно, озвучу их ответ очень кратко и без эмоций. Он звучит, уж извините, так: "Полная чушь".

Дискутировать дальше не буду. Свою задачу пришлось решить самому, тему можно закрывать. Главное для меня – обшелся без самодельщины, в Греции, если хорошенько покопаться, все есть.
И тем не менеее всем спасибо за участие в обсуждении.

Ну значит я сталкивался с другим промышленным подходом. Всё что можно (данные, отдельно конфиги после проверок) восстанавливали с бэкапов и снэпшотов, исходную систему же проще было накатить с нуля из резервного чистого образа. В особо ответственных случаях, даже просто переинсталлить. Никаким антивирусам не доверяли, им просто не было места в этом процессе.

Им же надо отчёты писать для оправдания своего существования. А где-то требуется такая безопасность, что эти отчёты и расследования инцидентов нафиг не сдались.

Долго сидел с попокорном, ожидая, чем закончится этот творческий поиск. И вроде как он закончился, но непонятно чем, топикстартер темнит со своей находкой, IDS это, IPS или оба вместе, неизвестно.
Но даже если поверить, что решение найдено, тогда вопрос к счастливому искателю как вы собираетесь бороться к примеру хотя бы с этим?

Действительно странно, читая тему слышать слова "напиши сам на шелле", "не-консольное ненужно и ему бы не доверял" и в то же время "теми средствами что есть (консольными) как искать иглу в стоге сена", после этого входишь в какое-то фрустрационное пике, будто все это ненужно, и знать о подозрительном поведении приложений, подозрительной сетевой активности – дурной тон. Или подобные задачи надежно и наглядно решаются стандартными инструментами и средствами? А если нет, то что за советы? Я не понимаю, неужели людям, которые озабочены безопасностью операционной системы, стойким шифрованием информации и каналов связи, анонимностью, не интересно, какой софт или методы/способы/софт/визуализация результатов присутствуют для решения подобного типа задач. Автор, выложите пожалуйста результаты вашего поиска, что найдено, что делает/не делает и тд.

Те, кто озабочен безопасностью и стойким шифрованием, отдают себе отчёт, что если зловред уже попал в систему, то никакими припарками и расследованием инцидента нанесённый ущерб не исправить. Вся эта ритуалистика с IDS и incident response имеет смысл только в зарегулированной корпоративной среде: отчёты с результатами расследования позволят избежать исков от клиентов и наездов от страховщиков; необходимость обнаружения вторжений объяснима масштабами корпоративных сетей: зловред не успеет вытащить всё разом, есть шанс минимизировать ущерб, если отловить его на ранних этапах. Частному пользователю всё это ненужно, ибо лишено смысла.

Интересно, но это, как если бы, вы имея много денег, пытались со всеми вокруг обсуждать как же их эффективно вложить. Эту задачу каждый решает для себя самостоятельно, т.к. у каждого свои исходные данные и конечная цель.

Частному пользователю тоже полезно знать, атакуют ли его кто компьютер; если атакуют, то как; какие подозрительные пакеты в обход Tor были залогированы и т.д. Т.е. какой-то мониторинг был бы полезн, но не городьба полноценного IDS. IDS нужен там, где много чего открыто и уязвимо по умолчанию (иначе никак, корпоративка), а объёмы трафика таковы, что вручную его уже не разберёшь.

Автор же признался, что он параноик, а таким все средства хороши.
Может, он последователь Сноудена? :)

Может, он последователь Сноудена? :)

Берите выше – может он Сноуден?

Те, кто озабочен безопасностью и стойким шифрованием, отдают себе отчёт, что если зловред уже попал в систему, то никакими припарками и расследованием инцидента нанесённый ущерб не исправить. Вся эта ритуалистика с IDS и incident response имеет смысл только в зарегулированной корпоративной среде: отчёты с результатами расследования позволят избежать исков от клиентов и наездов от страховщиков; необходимость обнаружения вторжений объяснима масштабами корпоративных сетей: зловред не успеет вытащить всё разом, есть шанс минимизировать ущерб, если отловить его на ранних этапах. Частному пользователю всё это ненужно, ибо лишено смысла.

Ну почему же, всегда так? Например на компьютере лежат научные разработки, для доступа к ним условный конкуренты нанимают какера, который посредством некого 0-day взламывает исконную машину, условно. Хотелось бы знать в таком случае, как произошел взлом, из-за какой уязвимости, когда, каакие-документы были похищены, а какие нет. Как минимум для этого необходимы вопросы, задаваемые автором, а то получается "меньше знаешь крепче спишь" какое-то. Или крайний пример, АНБ, которая как известно очень любознательна в отношении IT-специалистов, в таком случае критической является и сама информация о проникновении, и детали, так как могут быть получены ип, номера оборудования, прочие утечки коррелирующих данных, вообщем произведен полный деанон, а потому знание о подобных проникновениях является более чем необходимым.