Перейти к содержанию

Recommended Posts

Николай Головко

Всем доброго дня,

давно напрашивается подготовка и выпуск нового издания книги "Безопасный Интернет". Вообще говоря, сделать это следовало гораздо раньше, но обстоятельства мне активно мешали :)

По традиции, прежде чем начать работу над новым изданием, я спрашиваю уважаемых коллег и единомышленников, чего на данный момент не хватает в книге. Выскажите, пожалуйста, пожелания и предложения.

Сейчас можно с уверенностью сказать, что на повестке дня стоят следующие задачи:

- облегчение языка изложения,

- написание раздела о безопасности мобильных устройств,

- написание раздела о безопасности в социальных сетях,

- обзор защитных возможностей Windows 7 и 8 (вкупе, естественно, с адаптацией советов книги к особенностям этих ОС).

Соответственно, обновляться будет и Security Advisory Tool, так что высказываться можно и по этой утилите.

P.S. Аналогичная тема открыта на фан-клубе ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
- обзор защитных возможностей Windows 7 и 8 (вкупе, естественно, с адаптацией советов книги к особенностям этих ОС).

Вполне достаточно и актуально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Убрать советы по "оптимизации" служб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька
Убрать советы по "оптимизации" служб.

Может еще дать ключи от квартиры где деньги лежат?

Николай Головко

Обязательно по Windows 7 - инструкция по отключению не нужных-потенциально опасных служб, закрытие критичных портов и удаление потенциально опасных компонентов сетевого продключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Может еще дать ключи от квартиры где деньги лежат?

Ознакомься с первоисточников, чтобы больше не употреблять эту фразу не к месту.

Обязательно по Windows 7 - инструкция по отключению не нужных-потенциально опасных служб, закрытие критичных портов и удаление потенциально опасных компонентов сетевого продключения.

Используй Гейм-паки Зверей. Это модно и там как раз все отлючено.

Чтобы не было обид, я поясню.

1. Почти все рекомендации по отключению службы были бессмысленны. То объясняют запретом на удаленное редактирование реестра, то ненужностью WinUpd в течении месяца. Что просто глупо.

2. Люди ведь реально начнут отключать. И потом хватать проблемы с работой программ. Это в лучшем случае.

3. Чье-то "а вот у меня все нормально" не волнует. Интимные подробности настройки служб у вас должны быть только вашими интимными вещами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

Umnik

Я не могу преживать за всю вселенную и спасать мир. Меня это "не волнует", я о своих проблемах говорю :D

Я не разбераюсь в глубокой сути этих советов но результат от них видим реально.

Отключил как советуют опасные службы, закрыл критичные порты, удалил опасные компоненты сетевого подключения, поставил антивирус с фаерволом... и забыл что такое вирусы на компьютере. Зделал тоже самое еще нескольким людям и у них тоже проблемы с вирусами исчезли. Хотя до этого не спасал никакой антивирус - их компьютеры регулярно заражались. сейчас нет. Один из них сменил компьютер с устанвленной Windows 7 и опять в системе вирусная помойка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Извините, но потенциальный спор пресеку сразу :)

Советы по безопасной настройке служб - это один из ключевых компонентов той системы рекомендаций, на которой основана книга, поэтому они останутся на своем месте. К сожалению, предложение по их изъятию я принять не могу (как и, например, озвученную в свое время просьбу отказаться от рекомендаций по отключению Java/JavaScript в браузере).

Могу лишь пообещать снабдить этот раздел максимумом требуемых оговорок и предостережений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Отключил как советуют опасные службы, закрыл критичные порты, удалил опасные компоненты сетевого подключения, поставил антивирус с фаерволом... и забыл что такое вирусы на компьютере. Зделал тоже самое еще нескольким людям и у них тоже проблемы с вирусами исчезли. Хотя до этого не спасал никакой антивирус - их компьютеры регулярно заражались.

Лол.

Все службы по умолчанию, про порты даже не задумываюсь. Последний раз заражался msblast'ом в, кажется, 2003-ем.

Николай Головко

Оговори, чтобы не делали этого и не читали даже.

Отключают службу терминалов - родительские контроли отваливаются. Отключают службу удаленного редактирования реестра - я не могу подключиться, находясь с ними в одной локальной сети. Отключают WinUpd - не получают экстренных обновлений и подставляют голую жопу kido. А то вообще забывают включить.

Закрывают "ненужные" порты - отваливается удобство работы в локалке. Про Home Group сразу забыть можно, а ведь эта полезняшка дает людям благо. Даже не надо задумываться о таких вещах, как рабочие группы и имя компа. Вбил пароль и все дела, все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я приму это к сведению. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Советы по безопасной настройке служб - это один из ключевых компонентов той системы рекомендаций, на которой основана книга, поэтому они останутся на своем месте.

Бесполезные и ненужные рекомендации. То что, по ряду служб было актуально к ХР, совершенно не подходит к Семерке и тем более к Восьмерке. Заранее сочувствую юзерам, начитавшись таких рекомендаций по современным осям :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Два чаю предыдущему оратору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька
подставляют голую жопу kido.

Как вы выразились "голая жопа" для kido это как раз не закрытый критичный порт ожидающий обновлений от Майкрософт :)

Или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Или нет?

Нет. Учите матчасть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька
Нет. Учите матчасть.

"червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине." :)

http://www.securelist.com/ru/descriptions/old21782749

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
"червь отсылает удаленной машине специальным образом сформированный RPC-запрос на TCP порты 139 (NetBIOS) и 445 (Direct hosted SMB), который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине." :)

http://www.securelist.com/ru/descriptions/old21782749

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx).

Не надо выборочно выхватывать из текста :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

1. В предыдущей редакции документа ровно никакого внимания не уделено таким средствам защиты от вредоносного программного обеспечения, как Application Whitelisting. Например, Software Restriction Policies существуют в Windows уже 10 лет, при этом выполняя свою работу на порядки лучше антивирусных программ, применяющих Blacklisting-технологии. В браузерах белые списки упомянуты, а в системе почему нет?

2. На первое место поставлены антивирусные программы, однако не обозначено чётко, что гарантий защиты они не дают никаких, да и не могут дать в принципе. Парадигма "я поставил антивирус — значит, полностью защищён" в сознании подавляющего большинства пользователей является неверной и должна быть сменена.

3. Работа только с привилегиями стандартного пользователя вынесена на последний план. В то же время, именно с такого формата работы начинается безопасность вообще, поэтому он должен стоять на первом месте и неоднократно акцентироваться. Напомню, что UAC Security Boundary не является, в то время как разграничение привилегий — является.

4. Блок с описанием фоновых служб, а тем более рекомендациями по их отключению — убрать. Описание функционала службы не даёт чёткого понимания целевой аудитории, так таки следует отключать конкретную службу или нет; а играться с отключениями вслепую — машина может стать неработоспособной вообще. Более того, в ряде сред (например, корпоративная сеть) отключение удалённого управления — криминал. Администратор не должен бегать к каждому компьютеру вручную, это абсолютная потеря функционала. Который необходим для работы! Вместо этого, следует укреплять те или иные службы. Например, вместо отключения шарингов следует поднять минимальный уровень аутентификации до NTLMv2, ликвидировать LM Hashes из SAM.

5. Не уделено внимания ситуациям с т.н. "лечением". Часто бывает, что полное лечение невозможно, на это вообще способны считанные профессионалы в мире. Поэтому бэкап данных + полная переустановка + зачистка MBR могут и должны быть указаны как рекомендуемый способ лечения системы. Отдельно обязательно отметить, что любое заражение — это 99.99% вина администратора (то есть, практически 100%), поэтому пострадавший должен провести работу над ошибками и выяснить, какие именно нормы безопасности были нарушены, чтобы не допускать повторения ситуации.

6. Упоминания DOS-систем типа дос98 или Millenium не нужны. Славабо, прошло то время, когда приходилось убеждать людей использовать Windows NT, теперь уже давно всё NT. Однако, я бы отметил отдельно, что Home-версии обрезаны в первую очередь в функционале безопасности, а поэтому их защитить на порядки сложнее, чем нормальную систему; а посему, использовать не рекомендуется, хоть и нет выхода иной раз.

7. Использование альтернативных программ мерой безопасности не является, а иной раз даже усугубляет ситуацию. На мой взгляд, не самая хорошая рекомендация. Особенно это касается браузеров. Статистику уязвимостей читали?

8. Не указано, что вирусы зачастую являются "болезнью немытых рук". "Я тут программку прикольную с торрентов скачал посмотреть", "бесплатный скринсейвер" и тому подобная муть, которой увлекаются экпериментаторы. А ведь есть поле для экспериментов — виртуальные машины.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com/technet/security/Bulletin/MS08-067.mspx).

Не надо выборочно выхватывать из текста :facepalm:

Ну если уж совсем конкретно, то Kido атакует тремя путями:

1. MS08-067, решается с помощью Windows Update;

2. Перебор паролей через SMB, решается нормальными паролями + Account Lockout;

3. Авторан со съёмных носителей, решается с помощью Application Whitelisting.

Я упустил ещё какой путь? Блокирование службы или порта никак проблему не решает. Сие в том числе доказано множественными вспышками Kido в интранетах наивных администраторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

WindowsNT, спасибо за развернутый комментарий. Приму во внимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
порт ожидающий обновлений от Майкрософт

Я имел в виду именно это. Не знаете- лучше молчите и учите матчасть, как я и советовал в своём первом посте. Windows Updates вообще не использует слушающие порты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×