Николай Головко

Security Advisory 4

В этой теме 18 сообщений

Всем доброго дня,

давно напрашивается подготовка и выпуск нового издания книги "Безопасный Интернет". Вообще говоря, сделать это следовало гораздо раньше, но обстоятельства мне активно мешали :)

По традиции, прежде чем начать работу над новым изданием, я спрашиваю уважаемых коллег и единомышленников, чего на данный момент не хватает в книге. Выскажите, пожалуйста, пожелания и предложения.

Сейчас можно с уверенностью сказать, что на повестке дня стоят следующие задачи:

- облегчение языка изложения,

- написание раздела о безопасности мобильных устройств,

- написание раздела о безопасности в социальных сетях,

- обзор защитных возможностей Windows 7 и 8 (вкупе, естественно, с адаптацией советов книги к особенностям этих ОС).

Соответственно, обновляться будет и Security Advisory Tool, так что высказываться можно и по этой утилите.

P.S. Аналогичная тема открыта на фан-клубе ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
- обзор защитных возможностей Windows 7 и 8 (вкупе, естественно, с адаптацией советов книги к особенностям этих ОС).

Вполне достаточно и актуально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Убрать советы по "оптимизации" служб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Убрать советы по "оптимизации" служб.

Может еще дать ключи от квартиры где деньги лежат?

Николай Головко

Обязательно по Windows 7 - инструкция по отключению не нужных-потенциально опасных служб, закрытие критичных портов и удаление потенциально опасных компонентов сетевого продключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может еще дать ключи от квартиры где деньги лежат?

Ознакомься с первоисточников, чтобы больше не употреблять эту фразу не к месту.

Обязательно по Windows 7 - инструкция по отключению не нужных-потенциально опасных служб, закрытие критичных портов и удаление потенциально опасных компонентов сетевого продключения.

Используй Гейм-паки Зверей. Это модно и там как раз все отлючено.

Чтобы не было обид, я поясню.

1. Почти все рекомендации по отключению службы были бессмысленны. То объясняют запретом на удаленное редактирование реестра, то ненужностью WinUpd в течении месяца. Что просто глупо.

2. Люди ведь реально начнут отключать. И потом хватать проблемы с работой программ. Это в лучшем случае.

3. Чье-то "а вот у меня все нормально" не волнует. Интимные подробности настройки служб у вас должны быть только вашими интимными вещами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Umnik

Я не могу преживать за всю вселенную и спасать мир. Меня это "не волнует", я о своих проблемах говорю :D

Я не разбераюсь в глубокой сути этих советов но результат от них видим реально.

Отключил как советуют опасные службы, закрыл критичные порты, удалил опасные компоненты сетевого подключения, поставил антивирус с фаерволом... и забыл что такое вирусы на компьютере. Зделал тоже самое еще нескольким людям и у них тоже проблемы с вирусами исчезли. Хотя до этого не спасал никакой антивирус - их компьютеры регулярно заражались. сейчас нет. Один из них сменил компьютер с устанвленной Windows 7 и опять в системе вирусная помойка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Извините, но потенциальный спор пресеку сразу :)

Советы по безопасной настройке служб - это один из ключевых компонентов той системы рекомендаций, на которой основана книга, поэтому они останутся на своем месте. К сожалению, предложение по их изъятию я принять не могу (как и, например, озвученную в свое время просьбу отказаться от рекомендаций по отключению Java/JavaScript в браузере).

Могу лишь пообещать снабдить этот раздел максимумом требуемых оговорок и предостережений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отключил как советуют опасные службы, закрыл критичные порты, удалил опасные компоненты сетевого подключения, поставил антивирус с фаерволом... и забыл что такое вирусы на компьютере. Зделал тоже самое еще нескольким людям и у них тоже проблемы с вирусами исчезли. Хотя до этого не спасал никакой антивирус - их компьютеры регулярно заражались.

Лол.

Все службы по умолчанию, про порты даже не задумываюсь. Последний раз заражался msblast'ом в, кажется, 2003-ем.

Николай Головко

Оговори, чтобы не делали этого и не читали даже.

Отключают службу терминалов - родительские контроли отваливаются. Отключают службу удаленного редактирования реестра - я не могу подключиться, находясь с ними в одной локальной сети. Отключают WinUpd - не получают экстренных обновлений и подставляют голую жопу kido. А то вообще забывают включить.

Закрывают "ненужные" порты - отваливается удобство работы в локалке. Про Home Group сразу забыть можно, а ведь эта полезняшка дает людям благо. Даже не надо задумываться о таких вещах, как рабочие группы и имя компа. Вбил пароль и все дела, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я приму это к сведению. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Советы по безопасной настройке служб - это один из ключевых компонентов той системы рекомендаций, на которой основана книга, поэтому они останутся на своем месте.

Бесполезные и ненужные рекомендации. То что, по ряду служб было актуально к ХР, совершенно не подходит к Семерке и тем более к Восьмерке. Заранее сочувствую юзерам, начитавшись таких рекомендаций по современным осям :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Два чаю предыдущему оратору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
подставляют голую жопу kido.

Как вы выразились "голая жопа" для kido это как раз не закрытый критичный порт ожидающий обновлений от Майкрософт :)

Или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или нет?

Нет. Учите матчасть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нет. Учите матчасть.

"червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине." :)

http://www.securelist.com/ru/descriptions/old21782749

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине." :)

http://www.securelist.com/ru/descriptions/old21782749

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx).

Не надо выборочно выхватывать из текста :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. В предыдущей редакции документа ровно никакого внимания не уделено таким средствам защиты от вредоносного программного обеспечения, как Application Whitelisting. Например, Software Restriction Policies существуют в Windows уже 10 лет, при этом выполняя свою работу на порядки лучше антивирусных программ, применяющих Blacklisting-технологии. В браузерах белые списки упомянуты, а в системе почему нет?

2. На первое место поставлены антивирусные программы, однако не обозначено чётко, что гарантий защиты они не дают никаких, да и не могут дать в принципе. Парадигма "я поставил антивирус — значит, полностью защищён" в сознании подавляющего большинства пользователей является неверной и должна быть сменена.

3. Работа только с привилегиями стандартного пользователя вынесена на последний план. В то же время, именно с такого формата работы начинается безопасность вообще, поэтому он должен стоять на первом месте и неоднократно акцентироваться. Напомню, что UAC Security Boundary не является, в то время как разграничение привилегий — является.

4. Блок с описанием фоновых служб, а тем более рекомендациями по их отключению — убрать. Описание функционала службы не даёт чёткого понимания целевой аудитории, так таки следует отключать конкретную службу или нет; а играться с отключениями вслепую — машина может стать неработоспособной вообще. Более того, в ряде сред (например, корпоративная сеть) отключение удалённого управления — криминал. Администратор не должен бегать к каждому компьютеру вручную, это абсолютная потеря функционала. Который необходим для работы! Вместо этого, следует укреплять те или иные службы. Например, вместо отключения шарингов следует поднять минимальный уровень аутентификации до NTLMv2, ликвидировать LM Hashes из SAM.

5. Не уделено внимания ситуациям с т.н. "лечением". Часто бывает, что полное лечение невозможно, на это вообще способны считанные профессионалы в мире. Поэтому бэкап данных + полная переустановка + зачистка MBR могут и должны быть указаны как рекомендуемый способ лечения системы. Отдельно обязательно отметить, что любое заражение — это 99.99% вина администратора (то есть, практически 100%), поэтому пострадавший должен провести работу над ошибками и выяснить, какие именно нормы безопасности были нарушены, чтобы не допускать повторения ситуации.

6. Упоминания DOS-систем типа дос98 или Millenium не нужны. Славабо, прошло то время, когда приходилось убеждать людей использовать Windows NT, теперь уже давно всё NT. Однако, я бы отметил отдельно, что Home-версии обрезаны в первую очередь в функционале безопасности, а поэтому их защитить на порядки сложнее, чем нормальную систему; а посему, использовать не рекомендуется, хоть и нет выхода иной раз.

7. Использование альтернативных программ мерой безопасности не является, а иной раз даже усугубляет ситуацию. На мой взгляд, не самая хорошая рекомендация. Особенно это касается браузеров. Статистику уязвимостей читали?

8. Не указано, что вирусы зачастую являются "болезнью немытых рук". "Я тут программку прикольную с торрентов скачал посмотреть", "бесплатный скринсейвер" и тому подобная муть, которой увлекаются экпериментаторы. А ведь есть поле для экспериментов — виртуальные машины.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx).

Не надо выборочно выхватывать из текста :facepalm:

Ну если уж совсем конкретно, то Kido атакует тремя путями:

1. MS08-067, решается с помощью Windows Update;

2. Перебор паролей через SMB, решается нормальными паролями + Account Lockout;

3. Авторан со съёмных носителей, решается с помощью Application Whitelisting.

Я упустил ещё какой путь? Блокирование службы или порта никак проблему не решает. Сие в том числе доказано множественными вспышками Kido в интранетах наивных администраторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

WindowsNT, спасибо за развернутый комментарий. Приму во внимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
порт ожидающий обновлений от Майкрософт

Я имел в виду именно это. Не знаете- лучше молчите и учите матчасть, как я и советовал в своём первом посте. Windows Updates вообще не использует слушающие порты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS