Когда вас насилуют - расслабьтесь и попытайтесь получить удовольствие

[Mike 125]

Вы пробовали линукс?

к сожалению линукс не панацея .....

в нем столько дыр .....

[Umnik 997]

чем у вас на проверку на вирусы. smile.gif

Особенно если учесть, что большинства времени на это не уходит, т.к. проверку если и делают, то только от нечего делать либо не у себя =)

Ах да! Проверил же. Как и предполагал, после установки 10-го плеера на 9-ой КИС все равно ругался на библиотеку (уже одну, а не две) от 9-ки. Прошлось сносить плеер унисталлером и ставить начисто. В общем, даже Адобе мало думает о качественном инсталляторе.

[p2u 824]

Как и предполагал, после установки 10-го плеера на 9-ой КИС все равно ругался на библиотеку (уже одну, а не две) от 9-ки. Прошлось сносить плеер унисталлером и ставить начисто. В общем, даже Адобе мало думает о качественном инсталляторе.

Видите сколько времени уходит? У меня такие проблемы не стоят. Мне даже заплатку на 'новую' уязвимость в службе Сервер (23 октября) не пришлось установить; эту службу я уже лет 5 назад удалил (это происходит когда вы удаляете всё из свойств Интернета кроме TCP/IP).

P.S.: Любопытно, что Майкрософт говорит, что эксплойтов нет, а ЛК, DrWeb и MessageLabs заявляют о том, что уже месяца полтора черви ползуют через эту дыру...

Update: изменили уже на 'да, эксплойт есть'. Молодцы.

Paul

[dr_dizel 385]

Мне даже заплатку на 'новую' уязвимость в службе Сервер (23 октября) не пришлось установить; эту службу я уже лет 5 назад удалил (это происходит когда вы удаляете всё из свойств Интернета кроме TCP/IP).

Это вам повезло, что Сервер не нужен. А если бы другой нужный сервис уязвим был? В корпоративе всё легко апдейтится через wsus без всяких запарок.

К тому же у вас остались TCP-UDP/IP, DNS и пр.

к сожалению линукс не панацея .....

в нем столько дыр .....

Так нет же 100% панацеи. Выбирать нужно меньшее из зол.

[p2u 824]

Это вам повезло, что Сервер не нужен. А если бы другой нужный сервис уязвим был? В корпоративе всё легко апдейтится через wsus без всяких запарок.

К тому же у вас остались TCP-UDP/IP, DNS и пр.

Службы, которые открывают порты и 'слушают' там - либо отключил, либо удалил. Другим не грозит ничего.

Служба DNS клиент вообще не нужна, так как каждое приложение может делать этот запрос самостоятельно. Причём, эта служба умеет обходить ограничения, заданные в Hosts File, что не есть хорошо.

P.S.: Во всяком случае добавляю, что Hosts переименовал в XHosts, чтобы и там нечего было эксплуатировать.

Paul

[dr_dizel 385]

Службы, которые открывают порты и 'слушают' там - либо отключил, либо удалил. Другим не грозит ничего.

Я говорил о стеке протоколов. В них постоянно что-то да находят. Вы должны отключить их тоже. Ну мало ли что!

[p2u 824]

Я говорил о стеке протоколов. В них постоянно что-то да находят. Вы должны отключить их тоже. Ну мало ли что!

Нет. У меня стек - нормальный. Raw Sockets отключил, да. А так со стеком на XP всё ОК.

Зато, вопреки всем заверениям Microsoft, сетевой стек Висты намного менее надёжен и безопасен, чем в XP.

Глубины и вершины сетевого стека Висты.

Symantec про векторы атак Висты (Это документ .pdf, к сожалению на английском)

Paul

[dr_dizel 385]

Нет. У меня стек - нормальный. Raw Sockets отключил, да. А так со стеком на XP всё ОК.

Вы так уверены в этом? Чем можете гарантировать, что завтра в нём не найдут что-нибудь вроде этого или этого?

Может даже что-нибудь старое вернётся, типа land.

[p2u 824]

Вы так уверены в этом? Чем можете гарантировать, что завтра в нём не найдут что-нибудь вроде этого или этого?

Гарантировать, естественно, никто ничего не может, но попробуйте искать другие примеры ибо:

По первой уязвимости: для удалённого выполнения кода должно что-то 'слушать' на портах (состояние 'LISTENING' в netstat):

На непосредственно подключённых к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов.

Мы уже установили, что у меня ничего не 'слушает'.

По второй уязвимости: она относится к кэшу DNS. Для того, чтобы от этого страдать должна работать служба DNS Client.

Это обновление для системы безопасности устраняет две уязвимости в службе доменных имен Windows, о которых сообщалось в частном порядке и которые делают возможной подделку. Уязвимости существуют как в DNS-клиенте, так и в DNS-сервере. Они позволяют удалённому злоумышленнику перенаправлять сетевой трафик, предназначавшийся для пользовательских веб-систем, во вредоносные системы.

Её я уже давно отключил, и вам дома тоже рекомендую.

P.S.: Вижу, что вы ещё добавили про Land атаку:

Описание:

Уязвимость позволяет удалённому пользователю вызвать отказ в обслуживании системы.

Уязвимость существует при обработке SYN пакетов. Удалённый пользователь может послать большое количество SYN пакетов на открытый порт системы и вызвать 100% загрузку процессора. Пример:

hping2 192.168.0.1 -s 135 -p 135 -S -a 192.168.0.1

И это ко мне не относится, так как 'открытый' порт считается порт, на котором что-то 'слушает'. ПРИЧЁМ:

Если на атакуемой машине установлен брандмауэр (без него нельзя!), то он быстро пресечёт попытку атаки. Встроенный брандмауэр в Windows её молча блокирует. Ещё добавлю, что вопреки всем заверениям вендоров файрволов - против DDoS атак НИЧЕГО делать нельзя кроме перезагрузки ОС.

Paul

[dr_dizel 385]

Гарантировать, естественно, никто ничего не может, но попробуйте искать другие примеры ...

Уязвимости я приводил в качестве примеров к тому, что реализация стека может содержать ошибки. А land-атаку, как пример исправленного бага, который может вернуться с очередным обновлением. Что касается даже просто стандартизации работы стековых протоколов, то тут тоже не так всё весело. Если уязвимость в архитектуре, то тут уже не патч будет, а какой-то хак придётся делать. Вас как клиента может даже никак не касаться взлом другого сервера, но если проэксплойтили dns-сервер, которым вы пользуетесь, то вы мало чем можете себе помочь.

Если вы полагаетесь на реализацию dns-клиента в приложениях, то это не означает, что они не могут быть подвергнуты атаке.

Открытый порт для приёма ответа появляется каждый раз, когда вы посылаете запрос. Чем больше запросов в сеть вы отправляете, тем больше портов вы открываете на прослушивание.

Я не вдавался в тонкости использования динамически открываемых портов для цели эксплоитов, но такой вариант тоже нельзя снимать со счетов.

Я не утверждаю, что вместо патчинга нельзя отключать ненужные компоненты. Проблема в том, что не всегда возможно что-то отключить т.к. это может быть нужно для какой-то работы или определённого софта.

К тому же не всё можно взять прод контроль, т.к. некоторые ресурсы находятся вне зоны вашего влияния, а вам ими нужно пользоваться.

[Андрей-001 1099]

Дома еще не стоит 10. Отличный способ все проверить.

10-ка Adobe Flash удаляет кое-что от предыдущих (см. в кнопке "Дополнительно").

После установки XP SP2 я сначала ставлюIE7, потом запускаю Деинсталлятор Adobe Flash, потом ставлю 10-ку.

Потом для проверки загрузки страниц захожу на напичканный флешками сайт Майл.ру, он зачастую предлагает там что-то подгрузить, после чего головная страница майл.ру открывается быстро.

Тема об флеш-уязвимостях и путях их решения.