Форум ''Интернет и Право''
28 Марта 2024, 20:58:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: RUSSIAN FIREWALL  (Прочитано 10297 раз)
Urix
Гость


E-mail
« : 20 Июня 2004, 22:18:28 »

Разродился-таки наконец я статьей. "Ох и тяжкая это работа из болота тащить бегемота!".
Кликайте на ссылку и увидите текст статьи RUSSIAN FIREWALL.

Если будет или есть что сказать, не стесняйтесь.
« Последнее редактирование: 21 Июня 2004, 10:53:17 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #1 : 21 Июня 2004, 23:07:38 »

Urix, я правильно понял что:
1. "Интернет-компьютер" был отключен от сети и не имел сетевой карты? То есть работа с сетью Интернет велась скорее всего через модем?
2. На "интернет-компьютере" и компьютерах корпоративной сети дисководы заблокированы не были?
3. Вы знали место, название файла и доступ к этой "шаре" хотя бы на чтение был у всех ("Everyone")?
4. Операционная система на "интернет-компьютере" была из семейства Windows 9x, Me?
« Последнее редактирование: 21 Июня 2004, 23:10:56 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #2 : 21 Июня 2004, 23:41:57 »

Скажем так: это был сон, но на вопросы я отвечаю так, словно это было на самом деле.
Цитировать
1. "Интернет-компьютер" был отключен от сети и не имел сетевой карты? То есть работа с сетью Интернет велась скорее всего через модем?
Особой разницы нет, через какой канал получать "подарки" на компьютер подключенный к Internet. Не это важно. Важно то, что этот компьютер не имел сетевой карты и был отключен от корпоративной сети.
Цитировать
2. На "интернет-компьютере" и компьютерах корпоративной сети дисководы заблокированы не были?
Ну они же считали, что отключив Internet-компьютер от корпоративной сети они себя обезопасили. Человека трудно переделать. Инфу сливали на дискеты, проверяли AVP, McAfee, DR-Web и тащили это потом к себе на компы.  Но эти антивирусы не знают новую "угрозу" в лицо. Ее сначала надо выявить и идентифицировать. А для этого мозги нужны. И джентельменам из Microsoft, лаборатории Касперского и др. на слово не верить. И потом, этими ребятами выявляются всегда угрозы вышедшие из под контроля. Начавшие бесконтрольно размножаться. А целенаправленную атаку с уникальным и единственным кодом выявить пассивными средствами практически невозможно. Код надо "на лету" анализировать.
Цитировать
3. Вы знали место, название файла и доступ к этой "шаре" хотя бы на чтение был у всех ("Everyone")?
Ну ессесно. В принципе, после того, как "подарками" была заряжена внутренняя сеть, можно было и просканить всю сеть. Но это уже некорректно. Задача была пройти "защиту отключением". Зачем решать дополнительные задачи. Эксперимент надо проводить чисто, без постороннего "шума". Чтоб не смазывать картину.
Цитировать
4. Операционная система на "интернет-компьютере" была из семейства Windows 9x, Me?
Да. Это был XX век. 98. Но и NT бы не спасла. Я там как раз одну фичу надыбал. Я не масдаевец, но мне стало интересно, я поискал и нашел. Сейчас уже деталей не помню. Не интересно это мне. Я не "кракер" и не любитель чужих секретов.
« Последнее редактирование: 21 Июня 2004, 23:49:40 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #3 : 21 Июня 2004, 23:48:41 »

Безопасника на улицу. Однозначно, как говорит ВВЖ. Причем вполне обосновано. У другого более хитрого товарища, фиг бы у вас такой финт ушами прошел.
Записан
Urix
Гость


E-mail
« Ответ #4 : 21 Июня 2004, 23:56:38 »

Цитировать
Безопасника на улицу. Однозначно, как говорит ВВЖ. Причем вполне обосновано. У другого более хитрого товарища, фиг бы у вас такой финт ушами прошел.
Да нет. Там нормальынй человек. Просто сработало "доверие" отключению. Расслабился парень. И еще. Даже если бы он не расслабился, то Microsoft свои коды никому не показывает и запрещает их анализировать. Это опять джентльменское соглашение. И безопасник здесь ни при чем. Он играет в чужую игру под названием "безопасный Windows". А снабжение госорганов и других предприятий софтом пока еще никак не налажено. Я не знаю точно как сейчас обстоит дело, но предполагаю, что так все и осталось, зная наших чиновников.

Я же вычитывал и код ядра и тексты утилит FreeBSD, когда мне надо было организовать по настоящему защищенный proxy-сервер. На Microsoft я даже не расчитывал.
« Последнее редактирование: 21 Июня 2004, 23:58:15 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #5 : 22 Июня 2004, 00:01:38 »

Urix есть достаточно простые способы довести эту схему до ума. Ему его не хватило. Вот и все.
По поводу гос.органов, - теперь их окучивает Микрософт. Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД. Детали сейчас уже не помню - если надо найду.
Записан
Urix
Гость


E-mail
« Ответ #6 : 22 Июня 2004, 00:07:39 »

Цитировать
Urix есть достаточно простые способы довести эту схему до ума. Ему его не хватило.
Боюсь, что это нельзя будет сделать из приниципиальных соображений. Я анализировал многие ситуации, правда давно, и у меня получилось, что кроме как активной защитой (анализом кода на угрозы на лету) защититься невозможно. Иначе строится "бассейн". Угроза внутри кода, а не снаружи. Вот на этом все и основано. AVP и др. - это "бассейны".

Анализ кода в рамках текущих идеологий ОС и архитектур компьютеров - процесс всегда жадный, жрет ресурсы, как свинья помои. Надо новую ОС создавать, в которой этот процесс анализа не будет "жадным". И еще ряд "фенечек" там должен быть. Но это уже совсем другая идеология, отличная от классики. Если хотите, особое мировозрение. Такая ОС чем-то напоминает работу мозга. Большой шаг в направлении настоящего искуственного интеллекта. Если не он самый. Такая ОС в приниципе не боится "вирусов". Ей можно будет "снести крышу" только так же, как это делается с "зомби" - запихиванием в нее суррогатного неполноценного знания в огромных количествах, когда шумом "забивается" логически правильная основа ОС. Эта ОС - обучающаяся. В рамках этой ОС программирования кодов как такового уже практически не нужно. Этот процесс заменяется тренировкой. И только если какой-то конкретной и очень специфичной кодовой конструкции не будет хватать, тогда только будет потребно программирование кодов. И программ как таковых практически не будет, а будут курсы. Курс бухучета, Курс web-а, курс делопроизводства и т.д. Многие вещи я уже знаю, как реализовывать. Кое-что уже сделано или делается.
« Последнее редактирование: 22 Июня 2004, 03:13:43 от Urix » Записан
Cool Fire
Посетитель
*
Офлайн Офлайн

Сообщений: 41


Вперед, обезьяны! Или Вы хотите жить вечно?


WWW E-mail
« Ответ #7 : 23 Июня 2004, 13:08:32 »

Цитировать
Цитировать
Теория передачи информации по неустойчивым каналам связи с шумом и потерей данных давно и хорошо разработана. Шеннон, Котельников, да и другие постарались. Это канал с обратной связью, с подтверждением отсутствия ошибок в принятой порции информации.
Вообще-то вышеназванные товарищи к протоколам с квитированием (т.е. с подтвержденим получения данных) имеют отдаленное отношение. Они решали в основном задачи корекции ошибок на основе избыточного кодирования.
Цитировать
обнаружить внедренную чужеродную программу по поведению компьютера
Очень расплывчатое определение. Кому-то нормальное поведение - отсутствие тормозов в Кваке, а кому-то - отсутствие лишних процессов в таскменеджере.
[qoute]Регулярно по всему миру объявляется "вирусная опасность".
LOL!!!
Цитировать
Однако, дискеты могут предварительно форматировать. Значит, необходимо каналообразующую часть программы размещать в драйвере флоппи-дисков.
Не вижу связи между причиной и следствием. Можно и в драйвере, но при чем тут форматирование дискеты?
Цитировать
Но давайте представим себе на минуту, что нашелся спамер, который написал программу - генератор сообщений на заданную тему..
Эта минута наступила года 2 назад, причем неоднократно.
Цитировать
сли бы AVP не было, то сетью Internet нельзя было бы пользоваться вообще
Спасибо тебе, дядя каспер, за возможность пользоваться инетом. Бред.
Цитировать
Рожденный быть Windows-ом защитить себя не может. Гены ему этого не позволяют.
Гены линуксоида, сидящего за его консолью, этого действительно не позволяют.
Цитировать
TCP/SYN-flood атака - это следствие ошибки в стратегии выделения ресурсов стека протоколов TCP/IP
Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535...
Цитировать
еще в прошлом веке я разработал свой корпоративный MTA (Mail Transport Agent) для proxy-сервера на основе FreeBSD, в котором учел особенности стратегий защиты серверов. Первая серьезная атака, которую с честью выдержал мой MTA, была атака "Мелиссой". Так получилось, что я смог получить доступ к proxy-серверу и посмотреть протокол работы MTA лишь через несколько дней после атаки. "Мелисса" была выявлена, код ее проанализирован, идентифицирована опасность и "Мелисса" была вычищена "на лету" из всей входящей корреспонденции. И ни один компьютер защищаемой мной сети не был подвергнут атаке. Кроме того, этот MTA защищал сеть еще и от "троянцев".
Т.е. проблема защиты почты на серваках Вами решена раз и навсегда без всяких последующих доработок, ведения баз сигнатур и т.д.? Тогда предлагаю Вам сделать это решение как минимум коммерческим, а заодно заработать деньги на шоу "Основатель лаборатории Касперского кончает жизнь самоубийством" :-)))
Или Вы просто из своего МТА сбрасывали письма на антивирь третьей фирмы? Тогда разочарую Вас - не Вы первый придумали интерфейсный модуль между почтовиком и антивирем.

И самое главное. Где-то на самом интересном месте после мыслей о заксоривании воруемых данных я потерялся. Ну заразили Вы заточенным вирем тачку с инетом. Имеете полный доступ к флопу. А дальше? На другом конце Вашего "дискеточного" канала тоже должно быть каналообразующее оборудование. Значит или вирь закатывает себя или своего коллегу на дискету в чистом (ну или если крутой - в полиморфированном виде), и потом кто-то кривыми руками его там запускает. И...? Ну всегда самой главной угрозой была прокладка между клавиатурой и стулом...
Цитировать
что кроме как активной защитой (анализом кода на угрозы на лету) защититься невозможно. Иначе строится "бассейн". Угроза внутри кода, а не снаружи. Вот на этом все и основано. AVP и др. - это "бассейны".
Вы птичку "Использовать эвристический анализатор" видели в "АВП и др."? Вот это оно и есть. Другое дело качество анализа, но это отдельный вопрос.
Цитировать
Эта ОС - обучающаяся. В рамках этой ОС программирования кодов как такового уже практически не нужно. Этот процесс заменяется тренировкой.
Я так и вижу, как я тренирую свою Ось после покупки:"Пинг!... Аборт! Я кому сказал аборт!... Читай почту.Вот молодец, хорошая оська.Дай, дай сюда письмо, глупое животное!". Надо будет еще специальное устройство сделать для вкладывания сахара и почесывания за ушами. :-)))
« Последнее редактирование: 23 Июня 2004, 17:52:34 от Cool Fire » Записан

Вперед, обезьяны! Или Вы хотите жить вечно?
Urix
Гость


E-mail
« Ответ #8 : 23 Июня 2004, 13:13:05 »

Цитировать
Они даже XP сертифицировали в ГосТехКомиссии, по усиленному классу от НСД.
Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии. Так что, "Верю, Верю. Арбузы по небу летаю. Windows XP совсем защищенный от НСД. Верю." - как говорил один царь в одной сказке.
Обосравшись принародно раз отмываться долго приходится. ГосТехКомиссия этой своей сертификацией дискредитирована напрочь как орган, которому можно доверять.

Интересно, а прошли бы Microsoft со своим Windows XP сертификацию в ГосЭтихКомиссии?

Цитировать
Они решали в основном задачи корекции ошибок на основе избыточного кодирования.
Шеннон рассматривал случай канала с обратной связью. И у Котельникова есть нечто подобное для зашумленных каналов.
Цитировать
Интересно, какую стратегию можно применить, когда ресурсы просто ЗАКАНЧИВАЮТСЯ??? Отсечь входящие? Ну дык тогда цель атаки достигнута. Можно только фильтровать в массе своей по адресам, ну еще таймаут подкрутить. Портов к сожалению только 65535...
Внимательно смотрим на диаграммы работы TCP/IP. Если не видим ошибки, значит - слепые.
Цитировать
при чем тут форматирование дискеты?
При "честном" форматировании информация на дискете уничтожается. Ее надо опять как-то туда поместить.
Цитировать
Тогда предлагаю Вам сделать это решение как минимум коммерческим
Вы меня натолкнули на хорошую мысль.
Цитировать
Вы птичку "Использовать эвристический анализатор" видели в "АВП и др."? Вот это оно и есть.
Что-то я не заметил, чтобы при эквивалентной смене порядка выполнения операций в опасном коде, AVP с "птичкой" идентифицировал бы этот код, как опасный. Некоторые варианты идентифицирует. Но не более 1%.
« Последнее редактирование: 23 Июня 2004, 14:22:35 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #9 : 23 Июня 2004, 17:55:54 »

Цитировать
Кстати, атака на 135 порт появилась уже после сертификации XP в ГосТехКомиссии.
Urix чтобы не буть голословным, можете привести дату выдачи сертификата ГосТехКомиссии и дату появления атаки (хотя бы приблизительную).

Цитировать
Обосравшись
Выбирайте выражения.

Цитировать
ГосТехКомиссия этой своей сертификацией дискредитирована напрочь как орган, которому можно доверять.
Urix вы хотя бы видели сам сертификат и на что именно он выдан?

Цитировать
Боюсь, что это нельзя будет сделать из приниципиальных соображений.
Можно, причем они достаточно просты. Добавляем сюда средства активного мониторинга и анализа сети. (Средства включают в себя и специалистов) и степень защищенности сети достигает приемлимого уровня. А 100% защиты не бывает. В принципе.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines