Форум ''Интернет и Право''

Разродился-таки наконец я статьей. "Ох и тяжкая это работа из болота тащить бегемота!".
Кликайте на ссылку и увидите текст статьи RUSSIAN FIREWALL (http://www.internet-law.ru/intlaw/articles/firewall.htm).

Если будет или есть что сказать, не стесняйтесь.

Urix, я правильно понял что:
1. "Интернет-компьютер" был отключен от сети и не имел сетевой карты? То есть работа с сетью Интернет велась скорее всего через модем?
2. На "интернет-компьютере" и компьютерах корпоративной сети дисководы заблокированы не были?
3. Вы знали место, название файла и доступ к этой "шаре" хотя бы на чтение был у всех ("Everyone")?
4. Операционная система на "интернет-компьютере" была из семейства Windows 9x, Me?

Скажем так: это был сон, но на вопросы я отвечаю так, словно это было на самом деле.
Особой разницы нет, через какой канал получать "подарки" на компьютер подключенный к Internet. Не это важно. Важно то, что этот компьютер не имел сетевой карты и был отключен от корпоративной сети.
Ну они же считали, что отключив Internet-компьютер от корпоративной сети они себя обезопасили. Человека трудно переделать. Инфу сливали на дискеты, проверяли AVP, McAfee, DR-Web и тащили это потом к себе на компы.  Но эти антивирусы не знают новую "угрозу" в лицо. Ее сначала надо выявить и идентифицировать. А для этого мозги нужны. И джентельменам из Microsoft, лаборатории Касперского и др. на слово не верить. И потом, этими ребятами выявляются всегда угрозы вышедшие из под контроля. Начавшие бесконтрольно размножаться. А целенаправленную атаку с уникальным и единственным кодом выявить пассивными средствами практически невозможно. Код надо "на лету" анализировать.
Ну ессесно. В принципе, после того, как "подарками" была заряжена внутренняя сеть, можно было и просканить всю сеть. Но это уже некорректно. Задача была пройти "защиту отключением". Зачем решать дополнительные задачи. Эксперимент надо проводить чисто, без постороннего "шума". Чтоб не смазывать картину.
Да. Это был XX век. 98. Но и NT бы не спасла. Я там как раз одну фичу надыбал. Я не масдаевец, но мне стало интересно, я поискал и нашел. Сейчас уже деталей не помню. Не интересно это мне. Я не "кракер" и не любитель чужих секретов.

Безопасника на улицу. Однозначно, как говорит ВВЖ. Причем вполне обосновано. У другого более хитрого товарища, фиг бы у вас такой финт ушами прошел.

Да нет. Там нормальынй человек. Просто сработало "доверие" отключению. Расслабился парень. И еще. Даже если бы он не расслабился, то Microsoft свои коды никому не показывает и запрещает их анализировать. Это опять джентльменское соглашение. И безопасник здесь ни при чем. Он играет в чужую игру под названием "безопасный Windows". А снабжение госорганов и других предприятий софтом пока еще никак не налажено. Я не знаю точно как сейчас обстоит дело, но предполагаю, что так все и осталось, зная наших чиновников.

Я же вычитывал и код ядра и тексты утилит FreeBSD, когда мне надо было организовать по настоящему защищенный proxy-сервер. На Microsoft я даже не расчитывал.

Urix есть достаточно простые способы довести эту схему до ума. Ему его не хватило. Вот и все.
По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД. Детали сейчас уже не помню - если надо найду.

Боюсь, что это нельзя будет сделать из приниципиальных соображений. Я анализировал многие ситуации, правда давно, и у меня получилось, что кроме как активной защитой (анализом кода на угрозы на лету) защититься невозможно. Иначе строится "бассейн". Угроза внутри кода, а не снаружи. Вот на этом все и основано. AVP и др. - это "бассейны".

Анализ кода в рамках текущих идеологий ОС и архитектур компьютеров - процесс всегда жадный, жрет ресурсы, как свинья помои. Надо новую ОС создавать, в которой этот процесс анализа не будет "жадным". И еще ряд "фенечек" там должен быть. Но это уже совсем другая идеология, отличная от классики. Если хотите, особое мировозрение. Такая ОС чем-то напоминает работу мозга. Большой шаг в направлении настоящего искуственного интеллекта. Если не он самый. Такая ОС в приниципе не боится "вирусов". Ей можно будет "снести крышу" только так же, как это делается с "зомби" - запихиванием в нее суррогатного неполноценного знания в огромных количествах, когда шумом "забивается" логически правильная основа ОС. Эта ОС - обучающаяся. В рамках этой ОС программирования кодов как такового уже практически не нужно. Этот процесс заменяется тренировкой. И только если какой-то конкретной и очень специфичной кодовой конструкции не будет хватать, тогда только будет потребно программирование кодов. И программ как таковых практически не будет, а будут курсы. Курс бухучета, Курс web-а, курс делопроизводства и т.д. Многие вещи я уже знаю, как реализовывать. Кое-что уже сделано или делается.

LOL!!!
Не вижу связи между причиной и следствием. Можно и в драйвере, но при чем тут форматирование дискеты?
Эта минута наступила года 2 назад, причем неоднократно.Спасибо тебе, дядя каспер, за возможность пользоваться инетом. Бред.Гены линуксоида, сидящего за его консолью, этого действительно не позволяют. Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535...
Т.е. проблема защиты почты на серваках Вами решена раз и навсегда без всяких последующих доработок, ведения баз сигнатур и т.д.? Тогда предлагаю Вам сделать это решение как минимум коммерческим, а заодно заработать деньги на шоу "Основатель лаборатории Касперского кончает жизнь самоубийством" :-)))
Или Вы просто из своего МТА сбрасывали письма на антивирь третьей фирмы? Тогда разочарую Вас - не Вы первый придумали интерфейсный модуль между почтовиком и антивирем.

И самое главное. Где-то на самом интересном месте после мыслей о заксоривании воруемых данных я потерялся. Ну заразили Вы заточенным вирем тачку с инетом. Имеете полный доступ к флопу. А дальше? На другом конце Вашего "дискеточного" канала тоже должно быть каналообразующее оборудование. Значит или вирь закатывает себя или своего коллегу на дискету в чистом (ну или если крутой - в полиморфированном виде), и потом кто-то кривыми руками его там запускает. И...? Ну всегда самой главной угрозой была прокладка между клавиатурой и стулом...
Вы птичку "Использовать эвристический анализатор" видели в "АВП и др."? Вот это оно и есть. Другое дело качество анализа, но это отдельный вопрос.
Я так и вижу, как я тренирую свою Ось после покупки:"Пинг!... Аборт! Я кому сказал аборт!... Читай почту.Вот молодец, хорошая оська.Дай, дай сюда письмо, глупое животное!". Надо будет еще специальное устройство сделать для вкладывания сахара и почесывания за ушами. :-)))

Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии. Так что, "Верю, Верю. Арбузы по небу летаю. Windows XP совсем защищенный от НСД. Верю." - как говорил один царь в одной сказке.
Обосравшись принародно раз отмываться долго приходится. ГосТехКомиссия этой своей сертификацией дискредитирована напрочь как орган, которому можно доверять.

Интересно, а прошли бы Microsoft со своим Windows XP сертификацию в ГосЭтихКомиссии?

Шеннон рассматривал случай канала с обратной связью. И у Котельникова есть нечто подобное для зашумленных каналов.
Внимательно смотрим на диаграммы работы TCP/IP. Если не видим ошибки, значит - слепые.
При "честном" форматировании информация на дискете уничтожается. Ее надо опять как-то туда поместить.
Вы меня натолкнули на хорошую мысль.
Что-то я не заметил, чтобы при эквивалентной смене порядка выполнения операций в опасном коде, AVP с "птичкой" идентифицировал бы этот код, как опасный. Некоторые варианты идентифицирует. Но не более 1%.

Urix чтобы не буть голословным, можете привести дату выдачи сертификата ГосТехКомиссии и дату появления атаки (хотя бы приблизительную).

Выбирайте выражения.

Urix вы хотя бы видели сам сертификат и на что именно он выдан?

Можно, причем они достаточно просты. Добавляем сюда средства активного мониторинга и анализа сети. (Средства включают в себя и специалистов) и степень защищенности сети достигает приемлимого уровня. А 100% защиты не бывает. В принципе.

Вот только не надо про диаграммы. НИКАКИЕ ДИАГРАММЫ И НИКАКАЯ ИДЕАЛЬНАЯ РЕАЛИЗАЦИЯ НЕ ПОМОГУТ ПРИНЯТЬ 65536 запросов одновременно. Дальше начинаются кластерные решения, балансировка нагрузки и прочее. Стек протокола тут не причем, все упирается в ДВУБАЙТНЫЙ номер порта. Это единственное, что Вы можете обозвать ошибкой. Однако в свое время дядя Билли говорил что 512К оперативки хватит по уши на всю жизнь. Никто ведь это не называет ошибкой...
Литературу плиз, с интересом почитаю.

Меня MustDie не интересует. Я поверил Вам на слово: По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД.. Извините, но я думал, что Вы джентельмен...
Тут Вы правы. Но с одной поправкой: от любых угроз нельзя защититься в принципе. Защититься от опасного кода можно, если этот код анализировать на угрозы "на лету" еще до его выполнения и в случае идентификации угрозы код просто не выполняется.

Я от своих слов не отказываюсь. Сертификат есть.
Но Urix, в сертификате, кроме того чему соответсвует система, есть еще куча инфомрации и уточнений.
Поэтому я и спросил вас, вы сам сертификат видели, прежде чем поливать грязью ГосТехКомиссию?

Вы не ответили на вопрос, о дате выдачи сертификата и атаки на порт 135.

Любой хороший ВУЗ-овский учебник по ТПС.
Слепой Вы наш. Посмотрите на диаграммах, на каком именно шаге возникает угроза.
Подозреваю, что атака совпадала по времени с проведением сертифицирования. Процесс сертификации не быстрый. Сколько экспериментов по доказательству соответсвия надо провести. Лет на пять работы, не меньше.
Я же сказал, что касающееся MustDie меня особо не интересует. Кроме того, защита от НСД предполагает действительную защиту, а не якобы защиту. Тут защищаю, а тут не защищаю. Раз защищаем от НСД, значит защищаем. Если не можем где-то что-то защитить от НСД, значит нет защиты. Это как крепостная стена с открытыми воротами. Или с трех стороны стена есть, а с четвертой - открытое поле. Ходи - не хочу.

За это "тут помню, тут не помню" МелкоМягких по результатам бомбардировок Югославии едва лицензии не лишили. Уж не знаю, как и на чем они там договорились со своим правительством. Авианосец ушел не туда куда надо, несколько ракет тоже, штаб-квартира НАТО два дня была блокирована, фотографии погибших китайских дипломатов вместо фото президента опять же. Грехов и грешков много.

Не верю. Единыжды соврав, да ктож тебе поверит. А тут не единыжды, а многкратно в извращенной форме.

Urix и кто вы после этого?
Ваши слова:
Вы утверждали, что атака появилась после сертификации. То есть можно сделать вывод что вы знаете даты обоих событий. А теперь что получается? Говорю что хочу - а про что говорю - меня не интересует.

В таких случаях лучше молчать, чем говорить.

И какие выводы после этого можно сделать о вашей статье? Как думаете?

Кстати Urix вы подвергли сомнению мою честность... и я до сих пор не вижу извинений.

Для того, что бы удостовериться в защищенности ОС необходимо протестировать все ее компоненты в отдельности на все возможные виды атак, а потом еще и систему в целом. Это за два дня не сделать. Да и года может не хватить. Лет пять надо трудиться сотне человек для изучения кода, выявления слабостей и подтверждения защищенности. Искать ошибки в чужом коде на порядок сложнее, чем заново написать правильный код. Трудозатраты, исходя из объемов кода Windows XP, должны составлять порядка 400-500 человеколет.

Если сертификат был получен за пару-тройку месяцев с начала процесса сертифицирования, то качество этого "сертификата" оставляет желать лучшего. В туалет с ним не пойдешь - бумага жесткая.

Поэтому, предполагая, что ГосТехКомиссия честно работала над сертифицированием (доказательством правильности, достоверности) заявленной защищенности от НСД, логично предположить что атака на 135 порт проявилась именно в это время, как раз к середине или окончанию процесса сертификации. Этой атаке не более 2-х лет и появилась она после выхода в свет Windows XP три года назад. И если ГосТехКомиссия честно проводит сертификацию, то этот процесс скорее всего пока еще не закончен. Затраты нужны слишком большие. ГосТехКомиссия не Microsoft и не может содержать в своем штате несколько тысяч высококлассных программеров, которым надо платить.

Мы не в Англии. Вы хоть иногда берите в руки карандаш и считайте. Получаются очень интересные цифры.

Я не подвергал сомнению Вашу честность. Вы честно сказали об увиденном сертификате. Если Вы поверили ГосТехКомисси, а она может соврать, то я в таких случаях обычно говорю: "за что купил, за то и продаю". А чаще просто беру карандаш, бумагу, справочники и начинаю считать. Чаще всего бывает достаточно прикидочного расчета.

Так, например, когда выводили ГСВГ, то в прессе появилась "утка" о продаже 5000 танков на Ближний Восток. Берем карандаш, бумагу и получаем, что для перевозки 2-х танковых армий требуется ни много ни мало 2500 платформ или порядка 50-70 составов увеличенной длины или порядка 100 среднеевропейской длины. Это если не считать боеприпасы, запчасти и другую сопутствующую "мелочевку". Незаметно переместить такую "махину" будет просто невозможно. Все железные дороги месяц-два-три будут обслуживать только этот транспорт.

Так и с сертификатом. Если подсчитаете трудозатраты, то убедитесь сами. Я им не верю. Врут ребята. А мы не в Англии, чтоб "жантельментам" верить на слово.

Идея насчет анализа кода налету (в случае например прихода по e-mail) очень хороша, но у нее есть слабое место, я могу написать код внешне безобидный но тем не менее с деструктивными или иными функциями, которые вы пока еще не знаете, и получится у вас тот же АВП с другого бока. Есть вариант трассировать программу и смотреть какие функции она выполняет, в принципе тогда очень хорошо получается, но это приведет к значительному увеличению времени выполнения программы, и не дай Бог в системе проверки есть ошибки! Тогда система вмиг станет нестабильной.
Идея АВП и прочих пассивных защит состоит в минимизации ущерба от возможной атаки и отшивать разных cewl haxor'ов, или я не прав? По моему эти системы с успехом с этим справляются....
Хорошую защиту может обеспечить только человек находящийся на стороне жертвы и читающий(!) логи каждый день, спросите рядового админа когда он в последний раз читал логи сервера? Он ответит, что у него на одного 100 компьютеров и 200 юзеров, и, что телефон звонит весь рабочий день... вот реалии, а еще защита, поэтому затыкаются все порты на роутере в и-нет и считается, что сеть защищена. А человеческий фактор? Это чье админа или безопасников? Кто объяснит юзеру о компьютерной безопасности. Здесь нужен комплекс мер, и прежде всего организационных, а не технических... Техника на втором месте.
p.s. Все вышесказаное ИМХО и не претендует на достоверность.