Washington Post рекомендует использовать Linux при совершении банковских on-line операций

>>И она будет оставаться тупой тварью до тех пор пока не усвоит что за бездумное кликанье по кнопочкам ок, не наступает уголовная ответственность.

ещё предлагаю расстреливать за неправильно заполненную квитанцию об оплате квартиры, например.

> Всяко лучше, чем грузить клиент-банк со среднестатистической виндовой машины с кучей открытых сервисов, пустым админским паролем, отсутствием обновлений и почти наверняка кучей вирусни.

> А в таком спец. дистре гайки можно действительно закрутить конкретно, благо задача будет весьма конкретная - обеспечить работу 1-2 приложений для доступа к сети банка. Скажем подписать все бинарники и разрешить выполнение только подписанного кода, политики selinux/grsecurity и можно быть хоть немного уверенным в безопасности.

Открой для себя возможности доменных политик и т.д. Другой вопрос что ими мало кто пользуется, а все потому что юзвери возмущаются, а начальство говорит "да ладно вам, у нас тут не КГБ, пускай себе." ТОже саое будет с livecd, к тому же livecd не перекрывает всех путей для атаки, но юзер полностью уверен в безопасности. В результате налетит на тот же фишинговый сайт или мен-ин-мидл атаку...

> Открой для себя возможности доменных политик и т.д.

Это которые обходятся переименованием файла?

А давайте мы "это" открывать не будем!

В качестве альтернативы предлагается использовать Linux LiveCD

А ведь чисто технически проще и удобнее взять что-нибудь вроде вот этого, допилить соответствующим образом, и запустить его под виртуалбоксом - та же песочница, но без необходимости перезагружать машину, да и ресурсов сожрёт намного меньше, чем ubuntu livecd.

> Это которые обходятся переименованием файла?

Ктож тебе его позволит переименовать-то? :)

> Ктож тебе его позволит переименовать-то? :)

А вот скопировать к себе и переменовать никто не запретит. Лажа это полная, для чудиков и блондинок.

> А ведь чисто технически проще и удобнее взять что-нибудь вроде вот этого, допилить соответствующим образом, и запустить его под виртуалбоксом - та же песочница, но без необходимости перезагружать машину, да и ресурсов сожрёт намного меньше, чем ubuntu livecd.

В результате инфицирования хост-машины ты получишь классического мен-ин-мидл атаку. Только вот юзер будет уверен в своей защищенности и в результате проворонит ее. То есть защищеность системы упадет, а не возрастет.

> А вот скопировать к себе и переменовать никто не запретит.

Ктож ему разрешить что-то запускать из области, разрешенной на запись? :)

> А ведь чисто технически проще и удобнее взять что-нибудь вроде вот этого, допилить соответствующим образом, и запустить его под виртуалбоксом

Ну да, только без виртуалбокса. И на ubuntu livecd свет клином не сошёлся.

> Ктож ему разрешить что-то запускать из области, разрешенной на запись? :)

Ну тогда вооще не заходим в этот домен. Про пароль админа и т.д. просьба не упоминать - меняется на раз-два. Все эти доменные приблуды без замков и паролей на bios - пустая трата времени.

> И на ubuntu livecd свет клином не сошёлся.

Естественно, просто там указано, что

> ... дается ссылка на обучающую статью, в которой рассматривается Ubuntu

Я лишь указал на то, что "ширпотреб" тут не самый лучший вариант, и нужно создать специализированное решение. А из-под виртуалки или нет - это уже вопрос удобства и безопасности, которые, как всегда, связаны обратной пропорциональностью.

> Все эти доменные приблуды без замков и паролей на bios - пустая трата времени.

Подсказка - RDP.

> Подсказка - RDP

Гы-гы - т.е. сразу переходим на linux - винда-то зачем тогда?

А идея с livecd неплоха. По идее клиент так же можно записать на болвань, а перед авторизацией просто скачивать обновление с хоста банка, ессесно все это максимально автоматизировать. (бо нельзя недооценивать предсказуемость тупизны).

> Ммм... да? Давай тогда так: У меня есть знакомый в южной америке, открываем там интернет магазин, находим добровольцев, которые сначала тратят туда $100 потом отзывают операцию и получают еще $50, от уже обналиченных там денег...

В банках лохов нет. Если ваш знакомый не благонадежен, с ним просто никто не будет работать, либо ему все деньги на месяц на холд поставят, а после отзыва еще и штрафы вкатают.

Не уподобляйтесь, в общем, анонимным экспертам, которые тут замену токенов на линуксовых болванках изобретают.

>> Подсказка - RDP

> Гы-гы - т.е. сразу переходим на linux - винда-то зачем тогда?

Толсто. К тормуже линакс-клиенты не поддерживают все возможности современного RDP и посему - небезопасны.

Re: Washington Post рекомендует использовать Linux при совершении банковских on-line операций > Болванка или просто уход с винды автоматом убирают всю эту чушь.

ХРЕН! Зато добавляет кучу другой. В результате - безопасность как минимум не улучшается, а обычно - падает из-за того что возникает ложное чувство защищенности.

> Нет дорогой - если производитель делает авто переворачивающееся на дороге и требующее "специальной безопасности" - виноват именно он, но никак не водитель.

То есть это производитель авто виноват что пьяный урод сел за руль? Он должен был предусмотреть защиту от пьяного урода за рулем?

В Volvo такое делали и делают.

> Не уподобляйтесь, в общем, анонимным экспертам, которые тут замену токенов на линуксовых болванках изобретают.

Давайте сделаем проще - отойдем за угол, достанем и померяем. :-) А если серьезно - никакие технические средства не могут решить проблему безопасности. Панацеи нет, не было и не будет. Ибо проблема - в самом слабом звене системы, в данном случае - в юзвере работающим с этой системой. И пока этого не поймут и не начнут воспитывать и дрючить юзверя, а не вкладывать деньги в безумно сложные и дорогие технические "решения" - проблема останется все такой же острой.

> Толсто. К тормуже линакс-клиенты не поддерживают все возможности современного RDP и посему - небезопасны.

Да уж безопаснее вендовых, их в отличии от, не сопровождает куча троянов.

А по существу тебе сказать нечего, венда-то зачем?

Вот таким образом её и выкидывают.

> А по существу тебе сказать нечего, венда-то зачем?

Ну запусти клиент сбера под линаксом... Для начала.

> Ну запусти клиент сбера под линаксом... Для начала.

А он работает по RDP?

>> Болванка или просто уход с винды автоматом убирают всю эту чушь.

> ХРЕН! Зато добавляет кучу другой.

Примерчик фстудию.

> В результате - безопасность как минимум не улучшается, а обычно - падает из-за того что возникает ложное чувство защищенности.

У тупой блондинки одинаковое чувство защищённости что за 2000-м без антивируса, что за опенсолярой (которую, кстати, НЕ взламывали!!!). Чтобы иметь повышенное чувство защищённости за никсами, нужно достаточно хорошщо понимать, за чем сидишь, а это с необходимостью сочетается с таким свойством, как незапускание на выполнение дерьма, скачанного из интернета.

> А если серьезно - никакие технические средства не могут решить проблему безопасности. Панацеи нет, не было и не будет. Ибо проблема - в самом слабом звене системы, в данном случае - в юзвере работающим с этой системой. И пока этого не поймут и не начнут воспитывать и дрючить юзверя, а не вкладывать деньги в безумно сложные и дорогие технические "решения" - проблема останется все такой же острой.

На самом деле есть две РАЗНЫЕ проблемы:

1. Неграмотный пользователь.

2. Негодная ОС.

Они перпендикулярны, ибо негодная ОС способна причинить серьёзные проблемы совершенно независимо от пользователя и его действий (свеженький вирус, атака по сети). ОС, требующая для поддержания отличной от нуля безопасности ухищрений типа антивирусов, брандмауэров (построенных на ОС, которые НЕ ТРЕБУЮТ таких ухищрений :))) ) и т.п., является негодной.

Насчёт пресловутых троянов, заражавших линуксные маршрутизаторы: в их заводской настройке была допущена ЭЛЕМЕНТАРНЕЙШАЯ, ГРУБЕЙШАЯ ошибка, непростительная даже администратору с двухнедельным опытом, так что ОС, в общем-то, не при чём: дыра была просто сделана вручную.

> Примерчик фстудию.

Червь на линакс роутеров, известная дыра в ssh, известна хохма с подменой файлов в одном ftpd, программа из одной строчке на перле, которая не печатает...

> У тупой блондинки одинаковое чувство защищённости что за 2000-м без антивируса, что за опенсолярой (которую, кстати, НЕ взламывали!!!).

В чем-то вы правы, у совсем топой - именно так. Но если есть хоть одна иззвилина, то... вообщем я знаю не одну организаци. где предприняты серьезные меры по безопасности, кроме одной - на рабочих местах у них нет антивируса. Он есть на серверах, домашние каталоги переодически сканируются, но резедентного монитора - нет. Как результат - ни в одной этой конторе не было эпидемии, хотя их соседи с резидентными модулями - пострадали, хотя вроде были защищены не хуже, а лучше. Почему? Да просто юзверя знали что антивируса нет и если они ступят - виноваты будут они. Как результат - при малейшем подозрении, при малейших непонятках они обращались в техподдержку.

> Как результат - ни в одной этой конторе не было эпидемии, хотя их соседи с резидентными модулями - пострадали, хотя вроде были защищены не хуже, а лучше.

И вся дурацкая суета оказалась без толку - неудивительно, антивирус всегда догоняет.

В общем - снести весь дурдом и забыть как страшный сон.

>> Примерчик фстудию.

> Червь на линакс роутеров,

Результат кривых рук заводских настройщиков одной из компаний. Была аналогичная проблема в заводской настройке старых версий соляры. Пофикшено.

> известная дыра в ssh,

Было. На линуксе. На соляре не было.

> известна хохма с подменой файлов в одном ftpd,

Ссылочку бы -- подмена на локальной машине?

> программа из одной строчке на перле, которая не печатает...

Ссылочку бы тоже...

По-моему, это не куча, так как к приведённому списку практически ничего не надо добавить. В ядрах и дистрах полуторалетней давности всего этого уже нет.

В отношении всяких червей -- в нормальном никсовом дистре у файла, скачанного из Интернета, автоматически сброшен атрибут выполнимости, так что для его запуска на выполнение надо этот бит ему дать вручную. Что, скажем так, очень непросто. Про дырки у этой фичи я что-то не слышал. У венды такого атрибута нет и никогда не будет, пока она остаётся вендой, несмотря на все UAC (родимое пятно CP/M).

>> Там и посмотрим, насколько устойчив Линукс.

> Прочность цепи равна прочности самого слабого звена. А люди везде одни и те же...

Под линухом обычную программу, даже имея права суперпользователя, далеко не факт что поставишь. Какой там нахрен вирус, который должен сам себя установить. Мрут они в такой среде. Заодно и пользователи линухом не пользуются, как празднавали 1%, так и будем празднавать.

> Результат кривых рук заводских настройщиков одной из компаний.

Да нет - там было все хуже. Открытый в мир 80й порт - обычное дело, так настраивают многие ISP для удаленного администрирования ADSL/DOCSIS модемов. Чтоб далеко не ходить - акадо, одно время этим грешил и стрим... Суммарно - более миллиона потенциально уязвимых юзверей, неплохо да? А у буржуинов такая настройка - вообще дело обычное.

Про ftpd - там похачили сервер разработчиков и засунули бекдор в исходники. Обнаружили быстро, через несколько дней, но... более 100000 забекдоренных хостов, отдельные машины с бекдором попадались еще более года. Чесно говорю - давно было, помню только что это был весьма известный и популярный опенсорцный проект.

А программу из одной строчке на перле ты найдешь здесь, в талксах. Правда темку еще тогда сильно почистили - убрали наиболее эмоциональные высказывания. :-)

> У венды такого атрибута нет и никогда не будет, пока она остаётся вендой, несмотря на все UAC (родимое пятно CP/M).

Вообще-то он есть, ничего так, а? Траверс папок/выполнение файлов называется. Да и экзешник, скаченный не из доверенной зоны, давно автоматом блокируется на выполнение, задается вопрос - запускать или нет. Только кто эти вопросы читает-то.

>> 1. Неграмотный пользователь.

Думаю это не проблема. Пользователь не обязан быть грамотным. Причем ни в чем. И уж тем более не в компьютерной области. Компьютер давно перестал быть специализированной системой. Это попсовый ширпотреб, как телефон или телевизор или микроволновая печь или _подставить свое_ . Так что мочить юзеров в сартирах никто не будет ибо здравый человек до такого не додумается.

> Заодно и пользователи линухом не пользуются, как празднавали 1%, так и будем празднавать.

Ерунда, там где платят и считают деньги - перейдут и переходят, примеров достаточно, почта россии хотя бы.

>> У венды такого атрибута нет и никогда не будет, пока она остаётся вендой, несмотря на все UAC (родимое пятно CP/M).

> Вообще-то он есть, ничего так, а? Траверс папок/выполнение файлов называется.

Есть-то они есть, только это не атрибуты файла в оглавлении каталога, а элементы так называемого ACL (списка контроля доступа). Дальше -- полный смех: линукс корректно отрабатывает вендовые ACL на смонтированном разделе FAT32 или NTFS, а венда в абсолютном большинстве случае их игнорирует (виста с семёркой не рассматриваются, так как с точки зрения психологии "защищённости" пользователя они аналогичны линуксу -- спасибо пропагандлистам микрософта!!!).

> Да и экзешник, скаченный не из доверенной зоны, давно автоматом блокируется на выполнение, задается вопрос - запускать или нет. Только кто эти вопросы читает-то.

Блокировка на выполнение и отсутствие атрибута выполнимости -- вещи принципиально различные по уровню. Второй исключает выполнение АБСОЛЮТНО, первый -- до перезагрузки машины.

>> 1. Неграмотный пользователь.

> Думаю это не проблема. Пользователь не обязан быть грамотным. Причем ни в чем. И уж тем более не в компьютерной области. Компьютер давно перестал быть специализированной системой. Это попсовый ширпотреб, как телефон или телевизор или микроволновая печь или _подставить свое_ . Так что мочить юзеров в сартирах никто не будет ибо здравый человек до такого не додумается.

В таком случае венда не имеет права на существование на машинах, работающих с сетями и сменными накопителями. Ни одна версия.

> линукс корректно отрабатывает вендовые ACL на смонтированном разделе FAT32 или NTFS,

Ничего что на FAT32 нет и не может быть ACL? Но тем не менее линакс их корректно обрабатывает, да? :)

> а венда в абсолютном большинстве случае их игнорирует (виста с семёркой не рассматриваются, так как с точки зрения психологии "защищённости" пользователя они аналогичны линуксу -- спасибо пропагандлистам микрософта!!!).

Эххх... Как бы сказать помягче, но не знаете - не говорите. Все он корректно обрабатывает, начиная с первой версии NT, та которая 3.1 :) Игнорирует он атрибуты файла, унаследованные от ДОС-а, а это - разные вещи.

> Блокировка на выполнение и отсутствие атрибута выполнимости -- вещи принципиально различные по уровню. Второй исключает выполнение АБСОЛЮТНО, первый -- до перезагрузки машины.

Да хрен тебе - перезагрузка не снимает блокировку, вот так-то. Разница в другом - при наличае атрибута блокировки ты можешь запустить файл, просто надо ответить на вопрос "ты уверен в том что тебе надо это запустить?", а отсуствие атрибута выполнимости (который тоже есть и это - отдельная сущность!) не даст тебе запустить файл, пока ты не залезешь и ручками не поправишь ACL. Поскольку ACL наследуются, то достаточно на %home% поставить атрибут типа запрет на "выполнение файла" и все файлы, которые ты в него копируешь, автоматом получат сей атрибут. Ну понятное дело что писать простой юзер может только в %home%.

>Да хрен тебе - перезагрузка не снимает блокировку, вот так-то

Уши вянут, ты что ли Resource Kit зочетай для начала чтоль... Совсем в MS детей воспитывать разучились. Раньше предоплаченные вендузоиды хоть матчасть знали...

>> линукс корректно отрабатывает вендовые ACL на смонтированном разделе FAT32 или NTFS,

> Ничего что на FAT32 нет и не может быть ACL? Но тем не менее линакс их корректно обрабатывает, да? :)

1. Смонтируйте раздел FAT32 в линуксе с ядром, например, 2.6.29 и попробуйте удалить папку RECYCLED не из-под рута. Или папку Documents and Settings тоже на FAT32. Как это сделано без ACL?

2. Вместе с NTFS получаешь такую радость, как дополнительные потоки, в которых вирусня спокойненько проживает (своими глазами видал). Кстати, как у дополнительных потоков там с правами, совершенно неясно.

>А всё-таки что мешает хомячкам, любителям запускать всякую хрень из инета стать частью линуксового ботнета?

Слегка завышенный входной уровень. К тому же если будет тенденция распространения какой-либо хрени на базе социальной инженерии - тут же все дистры выпилят sudo и пр.мелкие радости жизни, упрощающие фунциклирование ламера. Разношерстность дистров и DE - это залог устойчивости к всяким заразам.

> 1. Смонтируйте раздел FAT32 в линуксе с ядром, например, 2.6.29 и попробуйте удалить папку RECYCLED не из-под рута. Или папку Documents and Settings тоже на FAT32. Как это сделано без ACL?

Честно говорю - как это сделано в линаксе я не знаю. Знаю только что для хранения ACL в NTFS используется EA, они же - множественные потоки данных. В FAT32 они отсутствуют как класс.

> 2. Вместе с NTFS получаешь такую радость, как дополнительные потоки, в которых вирусня спокойненько проживает (своими глазами видал). Кстати, как у дополнительных потоков там с правами, совершенно неясно.

Да все там ясно - права единые на весь файл, со всеми потоками. Более того - ACL это просто один из потоков.

> Честно говорю - как это сделано в линаксе я не знаю. Знаю только что для хранения ACL в NTFS используется EA, они же - множественные потоки данных. В FAT32 они отсутствуют как класс.

В потоке, соседнем со списком, прекрасно живут вирусы. Сам видел.

Ещё касперский одной из свежих версий в доп потоки контрольные суммы файлов повадился писать. Идея неплохая, но тормозииииит...

>> Ммм... да? Давай тогда так: У меня есть знакомый в южной америке, открываем там интернет магазин, находим добровольцев, которые сначала тратят туда $100 потом отзывают операцию и получают еще $50, от уже обналиченных там денег...

> В банках лохов нет. Если ваш знакомый не благонадежен, с ним просто никто не будет работать, либо ему все деньги на месяц на холд поставят, а после отзыва еще и штрафы вкатают.

Да, да... охотно верю... и зараженные вирусом банкоматы с виндой внутри были вовсе не банковские, а лохами оказались, то есть попали на деньги, не банкиры а юзеры.

В том то и фишка, что банки не дураки и крайним в любом случае постараются сделать клиента.

Ну и вообще, а откуда информация, что это так просто отменить транзакцию по приобретению в интернет магазине? Известны ли прициденты?

linux не нужен

>Совсем в MS детей воспитывать разучились. Раньше предоплаченные вендузоиды хоть матчасть знали...

+100 Тут один гражданин расказывал (жаль потерли посты) что winxp c SP0 до SP3 прокачивать умеет без пересетапа. Очень шустрый пионэр :)

Мля, шома чтоль пришел? Ну и куда дедись такие милые мессаги как про абсолютно нормальную ситуацию, когда на машине два init? :-)

> Тут один гражданин расказывал (жаль потерли посты) что winxp c SP0 до SP3 прокачивать умеет без пересетапа. Очень шустрый пионэр :)

Ну и расскажи где проблема? Дай угадаю - ключики в блок-листы попали, да? :-) А никогда не задумывался что не у всех ключики в блок-листы попадают раз, два - что их можно сменить без переустановки винды?

>Дай угадаю - ключики в блок-листы попали, да? :-)

мдяяяя... так вот они какие эникейщики :)))))))

Мсье вам о чем нибудь говорит статус организации "Microsoft Gold Partner"? Какие нак блок-листы? Господя... дожили, и куда вменяемые виндузоиды подевались???

> Ибо проблема - в самом слабом звене системы, в данном случае - в юзвере работающим с этой системой.

Вообще-то проблемы суммируются. Если к слабому юзеру добавляется дырявая ось, то риск утекания данных возрастает, а не остаётся на том же уровне.

> Мсье вам о чем нибудь говорит статус организации "Microsoft Gold Partner"? Какие нак блок-листы? Господя... дожили, и куда вменяемые виндузоиды подевались???

Так я не понял - какие проблемы на пути последовательной установки SP1-SP2-SP3? Может ссылочкой на течьнет поделитесь, где сии проблемы описаны? Как голд партнер должны знать что это такое, да?

Блин... что-то вспоминаю... SP3 отзывали чтоль? Что-то такое было, вроде... не помню уже. Но ктож в первый день накатывает-то, разве что голд партнеры... :-)

Вменяемые переключились на никсы, за них больше платят. Остался отстой, аникейщики.

> Вообще-то проблемы суммируются.

Вообще-то нет - читайте классиков, риски компрометации системы равны риску компрометации самого слабого звена.

> Вменяемые переключились на никсы, за них больше платят.

Вообще-то за юниксв платят меньше, больше 60-80 предложений не видел, а я меньше 100 не разговариваю вообще.

> Вообще-то нет - читайте классиков, риски компрометации системы равны риску компрометации самого слабого звена.

Логически свою позицию я обосновал.