Re: X11 модули

[Иван Лох <loh@1917.com>]

On Thu, Feb 12, 2004 at 07:52:49PM +0100, Женя wrote:
> 
> 
> Am 12.02.2004 18:40 schrieb Иван Лох:
> >Всегда считайте, что пользовательский процесс запущен Эйнштейном, а
> >текстовый файл создан Пушкиным.
> 
> Да, я с этим согласен, но невозможность остановки процесса пользователя 
> встречается только в << 1% случаев. В таких случаях действительно надо 
> принимать какие-то особые меры. 

Вы же не знаете, что у него в открытом vi набрано?

> А текстовые файлы Пушкина должны лежать в backup'е. Если откат до
> чистого backup'а не возможен, то нужно анализировать тогда эти
> текстовые файлы, а не бинарники, логи и конфиги системы.

backup каталога /home делается для пользователей, а не для
администратора. Попросят -- восстановите, но это не значит, что Вы
должны сносить их каталог и заменять на backup.

> >Не бывает одинаковых систем, будучи установленными они
> >накапливают изменения разного рода. 
> 
> Вот это как раз о том и говорит, что проверка чексум системы, никогда не 
> даст 100% результат

Эти изменения не лежат в /bin и /sbin Ценность в качестве backdoor они,
как правило, не представляют. Они все больше в /var...

> >Де-факто, переустанавливая систему Вы всегда теряете некую
> >функциональность.
> 
> Функциональность которая теряется при переустановке заранее известна, а 
> если не известна то тогда не важна. 

Это Вам неизвестна. Какому-нибудь пользователю она еще как известна.

> >Вы крадете время у своих пользователей.

Бедняга неделю будем маяться прежде чем поймет почему нечто неработает.

> это как раз наоборот. В таких случаях переустановка и закрывание дыр 
> системы, это единственный приемлемый способ получения 100% чистого 
> рабочего компьютере, так как у пострадавших нет навыков forensic- Анализа.

Им навыка установки брандмаура достаточно.

> Неужели Вы каждый компьютер который был скомпрометирован анализируете? 

Linux? Да. 

> Неужели вы у каждого своего приватного знакомого, который получал вирус 
> открывающий "чёрную дверь", делали полный анализ системы и что потом 
> взломщик наделал на этой системе? Кому это интересно? Да есть случаи 
> когда это играет большую роль, но число этих случаев минимально мало и в 
> таких случаях надо действительно принимать другие меры.

Когда его будут сажать в тюрьму за "кражу" кредитных карт, он (и его
адвокат) будут вам очень благодарны за отформатированный диск. :-{

> >Очень вероятно, что Вас взломают через свежепереставленную систему
> >так-же как сломали 20' назад. Вы же не знаете как Вас сломали?
> 
> А вот этого я никогда не утверждал! Найти и закрыть дырку, через которую 
> была инфицирована машина, необходимо.  Но для этого нужен анализ того 
> как был произведён взлом, а не анализ того что произошло _после_ взлома 
> машины.

Во-первых, Ваши _другие_ машины могли атаковать с взломаного. Во-вторых,
это может избавить Вас от массы неприятностей, если атаковали не _ваши_
машины. В-третьих, это бывает забавно.


-- 
Иван Лох