Шифраторы атакуют! Методы противодействия и проекты av-софта

[Лекс Айрин]

Но для персональной рабочей станции с ограниченными ресурсами все иначе ...

Иные персоналки сервера на обе лопатки положат. И если не запускать десятки копий разных осей, то вполне можно позволить себе использовать виртуализацию. Хотя проблема скорее в том, что оси просто неправильно написаны, поэтому они дырявы как решето.

[azsx]

0. надо признать, что дыры в винде заложены изначально. Щас война против винды, в РФ всё равно на никс перейдут, лучше уж сами, чем потом, внезапно.
1. надо делать архивы на другой комп. При чём до архивов из винды, чтобы не дотянуться. Я делаю rsync'ом. Не поверите, но пока работал админом критические архивы даже на dvd болванки делал.
2. я делаю тест файлы. То есть в нескольких каталогах файлы типа password.doc (имена изменил) в которых записан определенный текст. В любой момент этот текст должен быть одинаковый, иначе беда.
3. я когда нибудь буду считать суммы редко изменяемых документов и выключать комп, если внезапно в сотне таких документов одновременно идут глобальные изменения.
зы
очень давно я попадал на вирус (скупой платит дважды, а вы трижды) на домашнем пк. Архивы наше всё.
На предприятиях у меня такого не было никогда.
зызы
а ваще проблема проста. Сперва it'шников по зарплатам скатили к уровню дворников, а теперь, внезапно, админы не могут от вируса защититься. Было бы смешно, если не учитывать зп админов.

[Alex2013]

Хотя проблема скорее в том, что оси просто неправильно написаны, поэтому они дырявы как решето.

Вот и я о том же ...
В случае с "WUBI подобной" загрузкой между железом и СЕТЕВОЙ осью образуется защитный слой прибывающей в полном офф-лайн оси ...(а виртуалка как не крути живет в оси, которая "железно" соприкасается с сетью... все мои попытки дробится подключения к сети только для "гостевой оси" пролетали как фанера над Парижем стоило схватить банальный руткит в основную ось, а при загрузке с WUBI внешняя ось не загружается от слова СОВСЕМ и пусть там хоть стопятьцот руткитов сидит физически отключенный кабель и модем во время использования оффлайн ОСи "обойти" будет я думаю значительно сложнее .... )

Это не "проноидальный файрвол" стреляющий "по кустам" но реально ничего не защищающий, а "разумная достаточность" с несколькими уровнями на каждом из которых можно смело вешать надпись "тут нет ничего ценного... а лес это туда! " + каждый уровень в отделности довольно легко восстановить ...

"Улет раздела с WUBI" тоже менее страшен чем улет "физического раздела" (Там по хорошему ничего кроме каталога c одним файлом и быть не должно ...) "Офлайн ОС" тоже может находится в другом разделе, а Бкап WUBI-оси вообще на внешних носителях .
Зы
А вообще лучшая зашита от падения и "прочих опасностей" просто в создании системы "информационной независимости ", когда потерять "все скопом " практически невозможно но даже подобная практически невероятная ситуация не должна "убить наповал" .
Единственное, что можно и нужно сделать это по возможности ускорить процесс восстановления при потере любого уровня активной "гражданской обороны" .. + легкая дымка "защиты от дурака" (разумеется иногда и от "себя любимого")

Добавлено спустя 39 минут 54 секунды:

0. надо признать, что дыры в винде заложены изначально. Щас война против винды, в РФ всё равно на никс перейдут, лучше уж сами, чем потом, внезапно.
1. надо делать архивы на другой комп. При чём до архивов из винды, чтобы не дотянуться. Я делаю rsync'ом. Не поверите, но пока работал админом критические архивы даже на dvd болванки делал.
2. я делаю тест файлы. То есть в нескольких каталогах файлы типа password.doc (имена изменил) в которых записан определенный текст. В любой момент этот текст должен быть одинаковый, иначе беда.
3. я когда нибудь буду считать суммы редко изменяемых документов и выключать комп, если внезапно в сотне таких документов одновременно идут глобальные изменения.
зы
очень давно я попадал на вирус (скупой платит дважды, а вы трижды) на домашнем пк. Архивы наше всё.
На предприятиях у меня такого не было никогда.
зызы
а ваще проблема проста. Сперва it'шников по зарплатам скатили к уровню дворников, а теперь, внезапно, админы не могут от вируса защититься. Было бы смешно, если не учитывать зп админов.

Вообще я бы не исключал ВНЕЗАПНОГО появления полностью кондовой ОС и даже полностью кондового "железа" ... А ля "левша стайл"...
По пункту 2. шифрование может идти ПРОЗРАЧНО пока не за кодит полностью... при чтении обычными способом можно и не заметить ... Гораздо проще отследить стадию сбора ифы и вакцинировать бут мбр и т.д .
Еще можно сделать ось чуть "атипичной" сменив имена и пути и т.п. + изменить способ загрузки ...
(Кстати, по идее можно автоматизировать этот процесс написав утилиту RandomSecurity )

Предприятия чуть другая песня... умный админ никогда не будет исходить из "непобедимости" вверенной ему локалки ...
Умный админ просто сделает, так что восстановление при сбое будет идти вообще незаметно для обычного юзера .
Пугая в нужной мере только руководство предприятия ....

[Лекс Айрин]

В случае с "WUBI подобной" загрузкой между железом и СЕТЕВОЙ осью образуется защитный слой прибывающей в полном оф-лайн оси ...

Самый параноидальный случай защиты, это когда ядро оси вообще не знает, что такое сеть и весь трафик снаружи считается недопустимым без проверки, исполняемые файлы запускаются в "песочнице" и им вообще запрещено изменять что-либо в системе. Любой чих по не зарегистрированным направлением блокирует программу до проверки легитимности действия.
Вот только немногие станут работать в такого рода системе -- после ее инсталляции скорее всего обновление системы/программы станет невозможным, если пользователь не будет держать руку на пульсе. В такой модели виртуализация что-то может сделать. А вот всякие виртуальные файловые системы нет. Точнее, лишь как часть виртуализации, но тогда есть шанс потерять пользовательскую инфу.
КубесОс как раз и разделяет важные процессы и программы в песочницах, запрещая доступ к системе. При этом, в будущем наверняка придумают более удобный и надежный механизм.
Кстати, борьба с разного рода "болезнями" должна вестись централизованно, к Чему сейчас и идет. Нужно отключать управляющие сервера, рассылать иммунизирующие программы, устанавливать на магистральных линиях и у провайдеров шлюзы дезинфекции.

Еще можно сделать ось чуть "атипичной" сменив имена и пути и т.п. + изменить способ загрузки ...

А еще лучше иметь в сети несколько разных структурно операционок. Реально нужно минимум 5. Фактически сейчас их 2-3. (винда и никсы, возможно, отдельно идут BSD системы ).

[azsx]

шифрование может идти ПРОЗРАЧНО пока не за кодит полностью...

Логично, не подумал. Мой способ в том числе помогает определить нормальный ли архив выгрузился.

Гораздо проще отследить стадию сбора ифы и вакцинировать бут мбр и т.д .

а как это или что это?

[olegy123]

ИМХО Для крупного предприятия можно вообще сделать что-то вроде СЕРВЕРА ВМ .

т.е. в итоге должно быть нечто похожее на свою(или пропатченную OS ) c элементами VM?

Добавлено спустя 3 минуты 19 секунд:
Re: Шифраторы атакуют! Методы противодействия и проекты av-софта

В случае с "WUBI подобной" загрузкой между железом и СЕТЕВОЙ осью образуется защитный слой прибывающей в полном офф-лайн оси ..

Мне кажется, что эта система должна снапшотить свое состояние? типа до заражения и после? или как? и не терять связь реальностью?
Типа матрица - где есть выдуманный мир и реальный, но на самом деле он выдуманный архитектором?

Добавлено спустя 11 минут 51 секунду:
Re: Шифраторы атакуют! Методы противодействия и проекты av-софта

КубесОс как раз и разделяет важные процессы и программы в песочницах, запрещая доступ к системе.

Типа в линухе Chroot?

[Лекс Айрин]

Типа в линухе Chroot?

Насколько мне известно, там даже более жесткие правила. Программы даже при легитимном взаимодействии распиханы по каморкам. Причем, сама ось (ядро) это отдельная песочница.

[olegy123]

Там процесс(ы) при запуске получает свое окружение, свой диск (корень"/"). Но функции ядра сохраняются, сохраняется взаимодействие с другими процессами(точно не знаю), сетевые функции сохраняются.
Дальше пошли с LXC - там можно получить изолированную машину(со своим ядром, IP, пробросам устройств).

[Pavia]

Лучше что-то реальное предложили.
http://www.sftp.net/clients

[Лекс Айрин]

Но функции ядра сохраняются, сохраняется взаимодействие с другими процессами(точно не знаю), сетевые функции сохраняются.

Понятное дело, что сохраняются))) без этого никакая ось не нужна. Просто программы периодически получают по рукам.

Лучше что-то реальное предложили.

это самые реальные варианты.

[Alex2013]

шифрование может идти ПРОЗРАЧНО пока не за кодит полностью...

Логично, не подумал. Мой способ в том числе помогает определить нормальный ли архив выгрузился.

Гораздо проще отследить стадию сбора ифы и вакцинировать бут мбр и т.д .

а как это или что это?

Да очень просто вешать алярм на любые действия процесса пределлами обычной работы
Запрос дынных о метрике диска ничего странного немеет, но если но исходит от допустим калькулятора это точно повод насторожится...

Сильно сомневаюсь что современные вирусы и зловреды умею работать на уровне контроллера... А значит всегда есть возможность отслеживать все изменения ФС и вообще обращения к диску ….При нынешних объёмах дисков вполне можно сделать «отсроченную запись» или вообще сохранять все текущие изменения в виде «пачь кода» (Большие файлы типа записей потокового видео разумеется случай особый но обычный "документальный трафик" вполне можно сохранять хотя-бы пару дней почти полностью )

Вакцина это просто ! Собирается особый загрузчик способный или проверять что реально находится на его месте (Обычно зловреды предают управление штатному загрузчику ) или тупо сбрасывающий ВСЁ (все настройки и память на физическом уровне .... только полная эмулятция может попытаться как-то противодействовать и то есть сомнения .)

Еще есть такая фишка в биосе что называется время включения ... можно настроить эталонное время загрузки и проверять его.

[Лекс Айрин]

Еще есть такая фишка в биосе что называется время включения ... можно настроить эталонное время загрузки и проверять его.

Угу... У меня на работе, в штатном режиме время, загрузки оси может меняться от "а оно вообще было выключено?" до "а теперь можете расслабиться и выпить чаю". Причем, при не зараженной системе. И после перенесения 1(одной, Карл) папки время загрузки уменьшается до нормы. Проблема в том, что винда не любит когда у нее папка профиля вырастает больше 3-4 гигов. А я видел профили и по 8-10 гигов. Хотя, мы можем считать время загрузки по разному. Лично я считаю от нажатия на кнопку, до момента, когда можно запустить (или даже запущена) первую программу.

[Alex2013]

Так фокус в том что-бы проверять на разных этапах Бут , загрузчик "Что-там"LDR ,Запуск ядра, запуск служб ОС , winlogon...

[Pavia]

Так фокус в том что-бы проверять на разных этапах Бут , загрузчик "Что-там"LDR ,Запуск ядра, запуск служб ОС , winlogon...

Так купите модуль доверенной загрузки. И настройте проверку этих файлов. Цена 1-10 тыс руб.

[Alex2013]

Ну да ... "купи ракушку"...
Это вообще форум программистов... или где ?

И так из обижавшего реализуемого "между делом" ...
1 Проект "Бульдозер" (Каталогизатор "файловых помоек" с возможностью быстрой проверки целостности данных )
2 Проект "Кроль Рандом" (Рандомизатор ОС . Несколько уровней усложнения процесса придания ОС "неповторимой индивидуальности" )
3 Проект "Бюро 13" (Поиск аномалий в ФС и поведении софта )
...

Предлагаю замутить что-то вроде конкурса или совместной разработки ... Как мысля