Название: RUSSIAN FIREWALL Отправлено: Urix от 20 Июня 2004, 22:18:28 Разродился-таки наконец я статьей. "Ох и тяжкая это работа из болота тащить бегемота!".
Кликайте на ссылку и увидите текст статьи RUSSIAN FIREWALL (http://www.internet-law.ru/intlaw/articles/firewall.htm). Если будет или есть что сказать, не стесняйтесь. Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 21 Июня 2004, 23:07:38 Urix, я правильно понял что:
1. "Интернет-компьютер" был отключен от сети и не имел сетевой карты? То есть работа с сетью Интернет велась скорее всего через модем? 2. На "интернет-компьютере" и компьютерах корпоративной сети дисководы заблокированы не были? 3. Вы знали место, название файла и доступ к этой "шаре" хотя бы на чтение был у всех ("Everyone")? 4. Операционная система на "интернет-компьютере" была из семейства Windows 9x, Me? Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 21 Июня 2004, 23:41:57 Скажем так: это был сон, но на вопросы я отвечаю так, словно это было на самом деле.
Цитировать 1. "Интернет-компьютер" был отключен от сети и не имел сетевой карты? То есть работа с сетью Интернет велась скорее всего через модем? Особой разницы нет, через какой канал получать "подарки" на компьютер подключенный к Internet. Не это важно. Важно то, что этот компьютер не имел сетевой карты и был отключен от корпоративной сети.Цитировать 2. На "интернет-компьютере" и компьютерах корпоративной сети дисководы заблокированы не были? Ну они же считали, что отключив Internet-компьютер от корпоративной сети они себя обезопасили. Человека трудно переделать. Инфу сливали на дискеты, проверяли AVP, McAfee, DR-Web и тащили это потом к себе на компы. Но эти антивирусы не знают новую "угрозу" в лицо. Ее сначала надо выявить и идентифицировать. А для этого мозги нужны. И джентельменам из Microsoft, лаборатории Касперского и др. на слово не верить. И потом, этими ребятами выявляются всегда угрозы вышедшие из под контроля. Начавшие бесконтрольно размножаться. А целенаправленную атаку с уникальным и единственным кодом выявить пассивными средствами практически невозможно. Код надо "на лету" анализировать.Цитировать 3. Вы знали место, название файла и доступ к этой "шаре" хотя бы на чтение был у всех ("Everyone")? Ну ессесно. В принципе, после того, как "подарками" была заряжена внутренняя сеть, можно было и просканить всю сеть. Но это уже некорректно. Задача была пройти "защиту отключением". Зачем решать дополнительные задачи. Эксперимент надо проводить чисто, без постороннего "шума". Чтоб не смазывать картину.Цитировать 4. Операционная система на "интернет-компьютере" была из семейства Windows 9x, Me? Да. Это был XX век. 98. Но и NT бы не спасла. Я там как раз одну фичу надыбал. Я не масдаевец, но мне стало интересно, я поискал и нашел. Сейчас уже деталей не помню. Не интересно это мне. Я не "кракер" и не любитель чужих секретов.Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 21 Июня 2004, 23:48:41 Безопасника на улицу. Однозначно, как говорит ВВЖ. Причем вполне обосновано. У другого более хитрого товарища, фиг бы у вас такой финт ушами прошел.
Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 21 Июня 2004, 23:56:38 Цитировать Безопасника на улицу. Однозначно, как говорит ВВЖ. Причем вполне обосновано. У другого более хитрого товарища, фиг бы у вас такой финт ушами прошел. Да нет. Там нормальынй человек. Просто сработало "доверие" отключению. Расслабился парень. И еще. Даже если бы он не расслабился, то Microsoft свои коды никому не показывает и запрещает их анализировать. Это опять джентльменское соглашение. И безопасник здесь ни при чем. Он играет в чужую игру под названием "безопасный Windows". А снабжение госорганов и других предприятий софтом пока еще никак не налажено. Я не знаю точно как сейчас обстоит дело, но предполагаю, что так все и осталось, зная наших чиновников.Я же вычитывал и код ядра и тексты утилит FreeBSD, когда мне надо было организовать по настоящему защищенный proxy-сервер. На Microsoft я даже не расчитывал. Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 22 Июня 2004, 00:01:38 Urix есть достаточно простые способы довести эту схему до ума. Ему его не хватило. Вот и все.
По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД. Детали сейчас уже не помню - если надо найду. Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 22 Июня 2004, 00:07:39 Цитировать Urix есть достаточно простые способы довести эту схему до ума. Ему его не хватило. Боюсь, что это нельзя будет сделать из приниципиальных соображений. Я анализировал многие ситуации, правда давно, и у меня получилось, что кроме как активной защитой (анализом кода на угрозы на лету) защититься невозможно. Иначе строится "бассейн". Угроза внутри кода, а не снаружи. Вот на этом все и основано. AVP и др. - это "бассейны".Анализ кода в рамках текущих идеологий ОС и архитектур компьютеров - процесс всегда жадный, жрет ресурсы, как свинья помои. Надо новую ОС создавать, в которой этот процесс анализа не будет "жадным". И еще ряд "фенечек" там должен быть. Но это уже совсем другая идеология, отличная от классики. Если хотите, особое мировозрение. Такая ОС чем-то напоминает работу мозга. Большой шаг в направлении настоящего искуственного интеллекта. Если не он самый. Такая ОС в приниципе не боится "вирусов". Ей можно будет "снести крышу" только так же, как это делается с "зомби" - запихиванием в нее суррогатного неполноценного знания в огромных количествах, когда шумом "забивается" логически правильная основа ОС. Эта ОС - обучающаяся. В рамках этой ОС программирования кодов как такового уже практически не нужно. Этот процесс заменяется тренировкой. И только если какой-то конкретной и очень специфичной кодовой конструкции не будет хватать, тогда только будет потребно программирование кодов. И программ как таковых практически не будет, а будут курсы. Курс бухучета, Курс web-а, курс делопроизводства и т.д. Многие вещи я уже знаю, как реализовывать. Кое-что уже сделано или делается. Название: Re:RUSSIAN FIREWALL Отправлено: Cool Fire от 23 Июня 2004, 13:08:32 Цитировать Цитировать Теория передачи информации по неустойчивым каналам связи с шумом и потерей данных давно и хорошо разработана. Шеннон, Котельников, да и другие постарались. Это канал с обратной связью, с подтверждением отсутствия ошибок в принятой порции информации. Вообще-то вышеназванные товарищи к протоколам с квитированием (т.е. с подтвержденим получения данных) имеют отдаленное отношение. Они решали в основном задачи корекции ошибок на основе избыточного кодирования.Цитировать обнаружить внедренную чужеродную программу по поведению компьютера Очень расплывчатое определение. Кому-то нормальное поведение - отсутствие тормозов в Кваке, а кому-то - отсутствие лишних процессов в таскменеджере.[qoute]Регулярно по всему миру объявляется "вирусная опасность". Цитировать Однако, дискеты могут предварительно форматировать. Значит, необходимо каналообразующую часть программы размещать в драйвере флоппи-дисков. Не вижу связи между причиной и следствием. Можно и в драйвере, но при чем тут форматирование дискеты?Цитировать Но давайте представим себе на минуту, что нашелся спамер, который написал программу - генератор сообщений на заданную тему.. Эта минута наступила года 2 назад, причем неоднократно.Цитировать сли бы AVP не было, то сетью Internet нельзя было бы пользоваться вообще Спасибо тебе, дядя каспер, за возможность пользоваться инетом. Бред.Цитировать Рожденный быть Windows-ом защитить себя не может. Гены ему этого не позволяют. Гены линуксоида, сидящего за его консолью, этого действительно не позволяют.Цитировать TCP/SYN-flood атака - это следствие ошибки в стратегии выделения ресурсов стека протоколов TCP/IP Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535...Цитировать еще в прошлом веке я разработал свой корпоративный MTA (Mail Transport Agent) для proxy-сервера на основе FreeBSD, в котором учел особенности стратегий защиты серверов. Первая серьезная атака, которую с честью выдержал мой MTA, была атака "Мелиссой". Так получилось, что я смог получить доступ к proxy-серверу и посмотреть протокол работы MTA лишь через несколько дней после атаки. "Мелисса" была выявлена, код ее проанализирован, идентифицирована опасность и "Мелисса" была вычищена "на лету" из всей входящей корреспонденции. И ни один компьютер защищаемой мной сети не был подвергнут атаке. Кроме того, этот MTA защищал сеть еще и от "троянцев". Т.е. проблема защиты почты на серваках Вами решена раз и навсегда без всяких последующих доработок, ведения баз сигнатур и т.д.? Тогда предлагаю Вам сделать это решение как минимум коммерческим, а заодно заработать деньги на шоу "Основатель лаборатории Касперского кончает жизнь самоубийством" :-)))Или Вы просто из своего МТА сбрасывали письма на антивирь третьей фирмы? Тогда разочарую Вас - не Вы первый придумали интерфейсный модуль между почтовиком и антивирем. И самое главное. Где-то на самом интересном месте после мыслей о заксоривании воруемых данных я потерялся. Ну заразили Вы заточенным вирем тачку с инетом. Имеете полный доступ к флопу. А дальше? На другом конце Вашего "дискеточного" канала тоже должно быть каналообразующее оборудование. Значит или вирь закатывает себя или своего коллегу на дискету в чистом (ну или если крутой - в полиморфированном виде), и потом кто-то кривыми руками его там запускает. И...? Ну всегда самой главной угрозой была прокладка между клавиатурой и стулом... Цитировать что кроме как активной защитой (анализом кода на угрозы на лету) защититься невозможно. Иначе строится "бассейн". Угроза внутри кода, а не снаружи. Вот на этом все и основано. AVP и др. - это "бассейны". Вы птичку "Использовать эвристический анализатор" видели в "АВП и др."? Вот это оно и есть. Другое дело качество анализа, но это отдельный вопрос.Цитировать Эта ОС - обучающаяся. В рамках этой ОС программирования кодов как такового уже практически не нужно. Этот процесс заменяется тренировкой. Я так и вижу, как я тренирую свою Ось после покупки:"Пинг!... Аборт! Я кому сказал аборт!... Читай почту.Вот молодец, хорошая оська.Дай, дай сюда письмо, глупое животное!". Надо будет еще специальное устройство сделать для вкладывания сахара и почесывания за ушами. :-)))Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 23 Июня 2004, 13:13:05 Цитировать Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД. Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии. Так что, "Верю, Верю. Арбузы по небу летаю. Windows XP совсем защищенный от НСД. Верю." - как говорил один царь в одной сказке.Обосравшись принародно раз отмываться долго приходится. ГосТехКомиссия этой своей сертификацией дискредитирована напрочь как орган, которому можно доверять. Интересно, а прошли бы Microsoft со своим Windows XP сертификацию в ГосЭтихКомиссии? Цитировать Они решали в основном задачи корекции ошибок на основе избыточного кодирования. Шеннон рассматривал случай канала с обратной связью. И у Котельникова есть нечто подобное для зашумленных каналов.Цитировать Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535... Внимательно смотрим на диаграммы работы TCP/IP. Если не видим ошибки, значит - слепые.Цитировать при чем тут форматирование дискеты? При "честном" форматировании информация на дискете уничтожается. Ее надо опять как-то туда поместить.Цитировать Тогда предлагаю Вам сделать это решение как минимум коммерческим Вы меня натолкнули на хорошую мысль.Цитировать Вы птичку "Использовать эвристический анализатор" видели в "АВП и др."? Вот это оно и есть. Что-то я не заметил, чтобы при эквивалентной смене порядка выполнения операций в опасном коде, AVP с "птичкой" идентифицировал бы этот код, как опасный. Некоторые варианты идентифицирует. Но не более 1%.Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 23 Июня 2004, 17:55:54 Цитировать Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии. Urix чтобы не буть голословным, можете привести дату выдачи сертификата ГосТехКомиссии и дату появления атаки (хотя бы приблизительную).Цитировать Обосравшись Выбирайте выражения.Цитировать ГосТехКомиссия этой своей сертификацией дискредитирована напрочь как орган, которому можно доверять. Urix вы хотя бы видели сам сертификат и на что именно он выдан?Цитировать Боюсь, что это нельзя будет сделать из приниципиальных соображений. Можно, причем они достаточно просты. Добавляем сюда средства активного мониторинга и анализа сети. (Средства включают в себя и специалистов) и степень защищенности сети достигает приемлимого уровня. А 100% защиты не бывает. В принципе.Название: Re:RUSSIAN FIREWALL Отправлено: Cool Fire от 23 Июня 2004, 18:06:19 Цитировать Цитировать Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535... Внимательно смотрим на диаграммы работы TCP/IP. Если не видим ошибки, значит - слепые.Цитировать Шеннон рассматривал случай канала с обратной связью. И у Котельникова есть нечто подобное для зашумленных каналов. Литературу плиз, с интересом почитаю.Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 23 Июня 2004, 18:10:03 Цитировать Urix вы хотя бы видели сам сертификат и на что именно он выдан? Меня MustDie не интересует. Я поверил Вам на слово: По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД.. Извините, но я думал, что Вы джентельмен...Цитировать А 100% защиты не бывает. В принципе. Тут Вы правы. Но с одной поправкой: от любых угроз нельзя защититься в принципе. Защититься от опасного кода можно, если этот код анализировать на угрозы "на лету" еще до его выполнения и в случае идентификации угрозы код просто не выполняется.Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 23 Июня 2004, 18:23:28 Цитировать Меня MustDie не интересует. Я поверил Вам на слово: По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД.. Извините, но я думал, что Вы джентельмен... Я от своих слов не отказываюсь. Сертификат есть.Но Urix, в сертификате, кроме того чему соответсвует система, есть еще куча инфомрации и уточнений. Поэтому я и спросил вас, вы сам сертификат видели, прежде чем поливать грязью ГосТехКомиссию? Вы не ответили на вопрос, о дате выдачи сертификата и атаки на порт 135. Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 23 Июня 2004, 18:42:38 Цитировать Литературу плиз, с интересом почитаю. Любой хороший ВУЗ-овский учебник по ТПС.Цитировать Вот только не надо про диаграммы. НИКАКИЕ ДИАГРАММЫ И НИКАКАЯ ИДЕАЛЬНАЯ РЕАЛИЗАЦИЯ НЕ ПОМОГУТ ПРИНЯТЬ 65536 запросов одновременно. Слепой Вы наш. Посмотрите на диаграммах, на каком именно шаге возникает угроза.Цитировать Вы не ответили на вопрос, о дате выдачи сертификата и атаки на порт 135. Подозреваю, что атака совпадала по времени с проведением сертифицирования. Процесс сертификации не быстрый. Сколько экспериментов по доказательству соответсвия надо провести. Лет на пять работы, не меньше.Цитировать Поэтому я и спросил вас, вы сам сертификат видели, прежде чем поливать грязью ГосТехКомиссию? Я же сказал, что касающееся MustDie меня особо не интересует. Кроме того, защита от НСД предполагает действительную защиту, а не якобы защиту. Тут защищаю, а тут не защищаю. Раз защищаем от НСД, значит защищаем. Если не можем где-то что-то защитить от НСД, значит нет защиты. Это как крепостная стена с открытыми воротами. Или с трех стороны стена есть, а с четвертой - открытое поле. Ходи - не хочу.За это "тут помню, тут не помню" МелкоМягких по результатам бомбардировок Югославии едва лицензии не лишили. Уж не знаю, как и на чем они там договорились со своим правительством. Авианосец ушел не туда куда надо, несколько ракет тоже, штаб-квартира НАТО два дня была блокирована, фотографии погибших китайских дипломатов вместо фото президента опять же. Грехов и грешков много. Не верю. Единыжды соврав, да ктож тебе поверит. А тут не единыжды, а многкратно в извращенной форме. Название: Re:RUSSIAN FIREWALL Отправлено: Yeoman от 24 Июня 2004, 10:29:10 Цитировать Подозреваю, что атака совпадала по времени с проведением сертифицирования. Процесс сертификации не быстрый. Сколько экспериментов по доказательству соответсвия надо провести. Лет на пять работы, не меньше. Urix и кто вы после этого? Ваши слова: Цитировать Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии. Вы утверждали, что атака появилась после сертификации. То есть можно сделать вывод что вы знаете даты обоих событий. А теперь что получается? Говорю что хочу - а про что говорю - меня не интересует. Цитировать Я же сказал, что касающееся MustDie меня особо не интересует. В таких случаях лучше молчать, чем говорить.И какие выводы после этого можно сделать о вашей статье? Как думаете? Кстати Urix вы подвергли сомнению мою честность... и я до сих пор не вижу извинений. Название: Re:RUSSIAN FIREWALL Отправлено: Urix от 24 Июня 2004, 12:13:56 Цитировать Вы утверждали, что атака появилась после сертификации. То есть можно сделать вывод что вы знаете даты обоих событий. А теперь что получается? Говорю что хочу - а про что говорю - меня не интересует. Для того, что бы удостовериться в защищенности ОС необходимо протестировать все ее компоненты в отдельности на все возможные виды атак, а потом еще и систему в целом. Это за два дня не сделать. Да и года может не хватить. Лет пять надо трудиться сотне человек для изучения кода, выявления слабостей и подтверждения защищенности. Искать ошибки в чужом коде на порядок сложнее, чем заново написать правильный код. Трудозатраты, исходя из объемов кода Windows XP, должны составлять порядка 400-500 человеколет.Если сертификат был получен за пару-тройку месяцев с начала процесса сертифицирования, то качество этого "сертификата" оставляет желать лучшего. В туалет с ним не пойдешь - бумага жесткая. Поэтому, предполагая, что ГосТехКомиссия честно работала над сертифицированием (доказательством правильности, достоверности) заявленной защищенности от НСД, логично предположить что атака на 135 порт проявилась именно в это время, как раз к середине или окончанию процесса сертификации. Этой атаке не более 2-х лет и появилась она после выхода в свет Windows XP три года назад. И если ГосТехКомиссия честно проводит сертификацию, то этот процесс скорее всего пока еще не закончен. Затраты нужны слишком большие. ГосТехКомиссия не Microsoft и не может содержать в своем штате несколько тысяч высококлассных программеров, которым надо платить. Мы не в Англии. Вы хоть иногда берите в руки карандаш и считайте. Получаются очень интересные цифры. Цитировать Кстати Urix вы подвергли сомнению мою честность... Я не подвергал сомнению Вашу честность. Вы честно сказали об увиденном сертификате. Если Вы поверили ГосТехКомисси, а она может соврать, то я в таких случаях обычно говорю: "за что купил, за то и продаю". А чаще просто беру карандаш, бумагу, справочники и начинаю считать. Чаще всего бывает достаточно прикидочного расчета.Так, например, когда выводили ГСВГ, то в прессе появилась "утка" о продаже 5000 танков на Ближний Восток. Берем карандаш, бумагу и получаем, что для перевозки 2-х танковых армий требуется ни много ни мало 2500 платформ или порядка 50-70 составов увеличенной длины или порядка 100 среднеевропейской длины. Это если не считать боеприпасы, запчасти и другую сопутствующую "мелочевку". Незаметно переместить такую "махину" будет просто невозможно. Все железные дороги месяц-два-три будут обслуживать только этот транспорт. Так и с сертификатом. Если подсчитаете трудозатраты, то убедитесь сами. Я им не верю. Врут ребята. А мы не в Англии, чтоб "жантельментам" верить на слово. Название: Re:RUSSIAN FIREWALL Отправлено: CYFiVE от 30 Июля 2004, 15:47:03 Идея насчет анализа кода налету (в случае например прихода по e-mail) очень хороша, но у нее есть слабое место, я могу написать код внешне безобидный но тем не менее с деструктивными или иными функциями, которые вы пока еще не знаете, и получится у вас тот же АВП с другого бока. Есть вариант трассировать программу и смотреть какие функции она выполняет, в принципе тогда очень хорошо получается, но это приведет к значительному увеличению времени выполнения программы, и не дай Бог в системе проверки есть ошибки! Тогда система вмиг станет нестабильной.
Идея АВП и прочих пассивных защит состоит в минимизации ущерба от возможной атаки и отшивать разных cewl haxor'ов, или я не прав? По моему эти системы с успехом с этим справляются.... Хорошую защиту может обеспечить только человек находящийся на стороне жертвы и читающий(!) логи каждый день, спросите рядового админа когда он в последний раз читал логи сервера? Он ответит, что у него на одного 100 компьютеров и 200 юзеров, и, что телефон звонит весь рабочий день... вот реалии, а еще защита, поэтому затыкаются все порты на роутере в и-нет и считается, что сеть защищена. А человеческий фактор? Это чье админа или безопасников? Кто объяснит юзеру о компьютерной безопасности. Здесь нужен комплекс мер, и прежде всего организационных, а не технических... Техника на втором месте. p.s. Все вышесказаное ИМХО и не претендует на достоверность. |