Лечение по-убунтушному...

Майор Очевидность · 05-12-10 03:11:43

Svart Testare пишет:

Представляю какой вой поднимет MSE если будет предпринята попытка установить кейлоггер

…через известные на момент последнего обновления уязвимости.

Svart Testare · 05-12-10 03:14:08

Майор Очевидность пишет:

…через известные на момент последнего обновления уязвимости.

Необязательно. Речь не об уязвимостях, а о подозрительном поведении, а его MSE тоже отлавливает.

Майор Очевидность · 05-12-10 03:15:16

Svart Testare пишет:

Речь не об уязвимостях, а о подозрительном поведении

о_0!
а каковы формализованные критерии «подозрительного поведения»?
если Вы про эвристику, то даже для обхода эвристики Антивируса Касперского хватает пяти строчек ассемблерного кода.

Linfan · 05-12-10 03:15:17

Svart Testare пишет:

Linfan пишет:
А в реальности это хлипкий штакетник
В реальности под стандартным пользователем такой кейлоггер работать не будет. Особенно с 64-битными приложениями, где
подгрузке стороннего кода в адресное пространство процесса
невозможно в принципе со стороны 32-битного кейлоггера.
Добавлено спустя 01 мин 17 с:
И не забываем, что у многих пользователей установлены всякие антивирусы. Представляю какой вой поднимет MSE если будет предпринята попытка установить кейлоггер

Сварт, плаваете в понимании WinAPI big_smile Кроме того, кто мешает собрать 64бит версию?
Насчет антивиря не знаю - тестить нужно. Проверять влом - мне эта ботва не грозит smile

Svart Testare · 05-12-10 03:18:22

Linfan пишет:

Кроме того, кто мешает собрать 64бит версию?

Ага, то есть нужно гадать какой вирус запустить пользователю — 32-битный или 64-битный smile И для какой ОС. Не жирновато ли для простого случая?
В общем, пока кейлоггеров, надёжно и незаметно работающих на правах стандартного пользователя я не встречал, да и гугель ни о чём таком не знает. А тем более о 64-битных вирусах smile

Добавлено спустя 50 с:

Майор Очевидность пишет:

а каковы формализованные критерии «подозрительного поведения»?

Ну вот, например, установка хука и попытка внедриться в процесс skype.exe.

Майор Очевидность · 05-12-10 03:20:23

Svart Testare пишет:

Ну вот, например

а что если это всего лишь безобидный X-Translator, экранный переводчик?
насколько помню, его «перевод на лету» работает именно так как описано — подключением к очереди сообщений окна, имеющего фокус.

Linfan · 05-12-10 03:23:37

Svart Testare пишет:

Linfan пишет:
Кроме того, кто мешает собрать 64бит версию?
Ага, то есть нужно гадать какой вирус запустить пользователю — 32-битный или 64-битный И для какой ОС. Не жирновато ли для простого случая?
В общем, пока кейлоггеров, надёжно и незаметно работающих на правах стандартного пользователя я не встречал, да и гугель ни о чём таком не знает. А тем более о 64-битных вирусах

Как известно, сначало уязвимости используются в коммерческих целях, а уж потом (через годик-другой) они всплывают. Вынь7 еще молодая и ведра с вирями будут собираться чуток попозжее smile

Svart Testare пишет:

Майор Очевидность пишет:
а каковы формализованные критерии «подозрительного поведения»?
Ну вот, например, установка хука и попытка внедриться в процесс skype.exe.

Сварт, "внедряться в процесс" не нужно - механизм хука сам подгружает dll законными легальными методами. А вот на установку хука возможно и может сработать.

Svart Testare · 05-12-10 03:27:47

Майор Очевидность пишет:

а что если это всего лишь безобидный X-Translator, экранный переводчик?

Это я не знаю. Можно попробовать его стравить с MSE.
Я вот наугад скачал какой-то кейлоггер — www.canadiancontent.net/tech/download/K … _Free.html, но как только закачка завершилась, я даже не успел запустить инсталлер — MSE вылез с красным экраном и сказал, что в файле KGBKeylogger smile

Linfan · 05-12-10 03:33:46

Svart Testare пишет:

Майор Очевидность пишет:
а что если это всего лишь безобидный X-Translator, экранный переводчик?
Это я не знаю. Можно попробовать его стравить с MSE.
Я вот наугад скачал какой-то кейлоггер — www.canadiancontent.net/tech/download/K … _Free.html, но как только закачка завершилась, я даже не успел запустить инсталлер — MSE вылез с красным экраном и сказал, что в файле KGBKeylogger

Знамо дело - без труда и не выудишь рыбку из пруда вебмани у хомячка lol MSE сработал на маску файла - этот кейлоггер распознался также как и зараженный вирусом бинарь. А свежак, написанный с нуля MSE так не распарсит.

petrun · 05-12-10 03:44:32

Svart Testare пишет:

Вот, слайды 6-12, подробно и на пальцах smile

Уфф. Отлично, у клиента хранится имя пользователя и пароль. Они шифруются симметричным ключом, ключ шифруется публичным ключом логин-сервера, и все это передается собственно серверу. Вопрос - кто мешает подменить хеш пароля?

Svart Testare · 05-12-10 03:44:50

Всё равно незадача какая-то! Часть кейлоггеров пресекается MSE ещё до установки/запуска (если портабле), а другая часть почему-то для установки требует админских прав и для запуска тоже! Это бред, а не кейлоггеры.
В общем, я пока не вижу реально работающего способа навредить пользователю с «птичьими» правами.

Добавлено спустя 01 мин 23 с:

petrun пишет:

Вопрос - кто мешает подменить хеш пароля?

На сервере? smile ))

petrun · 05-12-10 03:48:26

Svart Testare пишет:

На сервере? smile))

На клиенте.На нем хранятся имя пользователя и хеш пароля. Кто мешает их украсть и залогинится с их помощью с другого клиента?

Svart Testare · 05-12-10 04:00:28

petrun пишет:

На нем хранятся имя пользователя и хеш пароля. Кто мешает их украсть и залогинится с их помощью с другого клиента?

Попробую этот способ завтра на другом компе. Но как решение, которое делает это невозможным, уже вижу простое шифрование файла Skype, в котором хранится хэш средствами ОС (в свойствах файла просто поставить галочку возле encrypted). И тогда никакой другой пользователь кроме этого на данном компе не сможет получить содержимое файла.

petrun · 05-12-10 04:05:17

Svart Testare пишет:

Попробую этот способ завтра на другом компе.

А не лень? Вам же придется подменять файлы в профиле скайпа.

Svart Testare пишет:

тогда никакой другой пользователь кроме этого на данном компе не сможет получить содержимое файла.

А троян, ворующий пароли по-вашему из-под какого пользователя будет работать?
Как решение я вижу рахрешить чтение этого файла только процессу скайпа. Можно же так в семерке?

Svart Testare · 05-12-10 04:08:07

petrun пишет:

А троян, ворующий пароли по-вашему из-под какого пользователя будет работать?

Ну украдёт он файл, отправит (???) своему автору, а тот не сможет прочитать файл.

petrun · 05-12-10 04:11:06

Svart Testare пишет:

а тот не сможет прочитать файл.

Он(троян) работает под той-же учетной записью. Кто мешает ему файл расшифровать и послать автору расшифрованный?

Apollo 11 · 05-12-10 10:25:14

Тайный хранитель пишет:

1.удалить все пользовательские документы и настройки программ

Каким образом он это сделает?

Тайный хранитель пишет:

Не все же программы для установки требуют админа.

Это как это? У меня все программы требуют пароль root'а для установки. Как в Винде, ХЗ.

Тайный хранитель пишет:

2. Повысить себя до админских прав ( при наличии дыры )и делать всё что угодно.

Блин, опять: как это произойдёт?

Lecarde пишет:

А... чтобы банально перехватывать пароли (пусть даже не рутовый, а от асечки и вконтактика) гипотетическому вирусу нужны особые права? smile Даже если он, как в том случае с кроссплатформенным ява-вирусом (лень тему искать) будет работать до первой перезагрузки.

Конечно нужны! "Гипотетическому вирусу" банально нужны права на запуск.

usr_share · 05-12-10 10:39:29

Я уже говорил, что ни один линуксовый браузер не ставит ни на какие файлы атрибут +x? То есть даже, если кому-то понадобится запустить файл, ему придётся залезть в свойства файла и разрешить запуск. И это только для запуска от обычного юзера. Даже вайновские проги в убунте запускаются через cautious-launcher, прося приписать им атрибут +x.

Отредактировано usr_share (05-12-10 10:41:54)

ikkunan salvataja · 05-12-10 11:58:29

Apollo 11 пишет:

Это как это? У меня все программы требуют пароль root'а для установки.

Это которые в репах, а так вполне можно скачать хотя бы это ardownload.adobe.com/pub/adobe/reader/u … ux_enu.bin , установить бит исполняемости и запустить. Далее возможны варианты, если вводить пароль рута оно будет доступно всем пользователям, а если не вводить то будет лежать в домашнем каталоге пользователя его запустившего и доступно будет только ему. Разумеется это при условии что /home не монтировался с опцией noexec.

Гареев Станислав · 05-12-10 12:24:35

terminaLtor пишет:

В линуксе k3b, например, от root'a не запустится, в консоли:
root#k3b

У меня запустился (версия другая), но вывел предупреждение:
"работать от имени пользователя root не безопасно, настройте права ".

Собственно я увидел это сообщение, когда запускал k3b в приоритете реального времени через kdesu. Надо было измерить скорость обработки данных.

Lecarde · 05-12-10 13:04:58

Я проснулся и готов подвести итоги. Итак, речь, как мы помним (а последние посты показывают - таки да, помним) шла о безопасности в стане красноглазиков, глупых пользователях, тыкающих рутовый пароль по первому требованию и гипотетических вирусах. Но Сварту, как обычно, виднее. Великий убедительно доказывал, что вирусов под линукс быть не может, потому что есть 64-х битная win7 и божественный MSE.
Why? smile Шаттлвор проплатил!?

Каким образом он это сделает?

Ну... у нас есть предположительно работающий вирус, на который я буду ссылаться, пока не появится чего получше smile Нечто, пусть даже используя глупость пользователя и незакрытую уязвимость, попадает в систему и начинает рассылать себя уже с машины пользователя. Что мешает нечту немного похазяйничать в пользовательских каталогах? Даже тупо влезть в конфиги браузера, прописав домашней страницей текущие_дырочки.рф, или подключив userscript.js с нашим любимым "отправьте смс, а то я не исчезну".

Конечно нужны! "Гипотетическому вирусу" банально нужны права на запуск.

М... а если это апплет к какой-нибудь адоб аир (понятно, что 1% потенциальных жертв уменьшится до совсем уж смешного значения, но мне всё равно интересно smile ). + Ну ты понел, на какой "какбы кросплатформенный какбы вирус" ссылаться smile
Опять же, данная тема скорее о глуповатых пользователях (смотри оп-пост), которые прав нашему гипотетическому вирусу не пожалеют smile Меня самого веселят истории "ну... сайт мне сказал, что нужно установить плагин, чтобы посмотреть то видео... Я нажал "ок", конечно, а теперь компьютер у меня смс просит", но ведь убунта у нас "дружелюбная и для всех". Что-то мне подсказывает, что там этот сценарий тоже будет работать smile

Отредактировано Lecarde (05-12-10 13:07:00)

Невропаразитолог · 05-12-10 13:06:35

Майор Очевидность,
Согласно данным юзерагента вы работаете под Win98 и IE6....
Ведь можно же работать... smile smile smile

ikkunan salvataja · 05-12-10 13:26:00

Невропаразитолог пишет:

Согласно данным юзерагента вы работаете под Win98 и IE6.

А у меня на сарае написано.. А там дрова.

Невропаразитолог · 05-12-10 13:28:07

ikkunan salvataja пишет:

А у меня на сарае написано.. А там дрова.

Зачем же вы на собственном сарае такое написали?!

Кроме того вопрос был не вам. hmm

ikkunan salvataja · 05-12-10 13:42:21

Невропаразитолог пишет:

Зачем же вы на собственном сарае такое написали?!

Затем, чтобы некоторые посмотрели какой юзерагент у меня.

Форум StopLinux

Объявление

#76 05-12-10 03:11:43

Re: Лечение по-убунтушному...

#77 05-12-10 03:14:08

Re: Лечение по-убунтушному...

#78 05-12-10 03:15:16

Re: Лечение по-убунтушному...

#79 05-12-10 03:15:17

Re: Лечение по-убунтушному...

#80 05-12-10 03:18:22

Re: Лечение по-убунтушному...

#81 05-12-10 03:20:23

Re: Лечение по-убунтушному...

#82 05-12-10 03:23:37

Re: Лечение по-убунтушному...

#83 05-12-10 03:27:47

Re: Лечение по-убунтушному...

#84 05-12-10 03:33:46

Re: Лечение по-убунтушному...

#85 05-12-10 03:44:32

Re: Лечение по-убунтушному...

#86 05-12-10 03:44:50

Re: Лечение по-убунтушному...

#87 05-12-10 03:48:26

Re: Лечение по-убунтушному...

#88 05-12-10 04:00:28

Re: Лечение по-убунтушному...

#89 05-12-10 04:05:17

Re: Лечение по-убунтушному...

#90 05-12-10 04:08:07

Re: Лечение по-убунтушному...

#91 05-12-10 04:11:06

Re: Лечение по-убунтушному...

#92 05-12-10 10:25:14

Re: Лечение по-убунтушному...

#93 05-12-10 10:39:29

Re: Лечение по-убунтушному...

#94 05-12-10 11:58:29

Re: Лечение по-убунтушному...

#95 05-12-10 12:24:35

Re: Лечение по-убунтушному...

#96 05-12-10 13:04:58

Re: Лечение по-убунтушному...

#97 05-12-10 13:06:35

Re: Лечение по-убунтушному...

#98 05-12-10 13:26:00

Re: Лечение по-убунтушному...

#99 05-12-10 13:28:07

Re: Лечение по-убунтушному...

#100 05-12-10 13:42:21

Re: Лечение по-убунтушному...

Подвал форума