[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: X11 модули



Am 12.02.2004 18:40 schrieb Иван Лох:

Всегда считайте, что пользовательский процесс запущен Эйнштейном, а
текстовый файл создан Пушкиным.
Да, я с этим согласен, но невозможность остановки процесса пользователя встречается только в << 1% случаев. В таких случаях действительно надо принимать какие-то особые меры. Но ни в коем случае не имеет смысл, эти особые меры принимать на каждом скомпрометированном компьютере. Факт того что есть ситуации в которых переустановка системы не приемлема, я никогда не оспаривал. Вот только то что таких ситуаций единицы по сравнению с ситуациями в которых в сто раз быстрее переставить систему, закрыть дырку и начать нормальную работу, по-моему это факт. А текстовые файлы Пушкина должны лежать в backup'е. Если откат до чистого backup'а не возможен, то нужно анализировать тогда эти текстовые файлы, а не бинарники, логи и конфиги системы. 


Не бывает одинаковых систем, будучи установленными они
накапливают изменения разного рода.
Вот это как раз о том и говорит, что проверка чексум системы, никогда не даст 100% результат 


Де-факто, переустанавливая систему Вы всегда теряете некую
функциональность.
Функциональность которая теряется при переустановке заранее известна, а если не известна то тогда не важна. Ещё раз повторюсь, я никогда не утверждал что переустановка _всегда_ лучший выход. 


Вы крадете время у своих пользователей.
А вот это как раз надо всегда сопоставлять и от случаю к случаю варьирует. Причём в большинстве случаев домашних, игровых, компьютеров это как раз наоборот. В таких случаях переустановка и закрывание дыр системы, это единственный приемлемый способ получения 100% чистого рабочего компьютере, так как у пострадавших нет навыков forensic- Анализа. 


В лучшем случае -- у самого себя.
Неужели Вы каждый компьютер который был скомпрометирован анализируете? Неужели вы у каждого своего приватного знакомого, который получал вирус открывающий "чёрную дверь", делали полный анализ системы и что потом взломщик наделал на этой системе? Кому это интересно? Да есть случаи когда это играет большую роль, но число этих случаев минимально мало и в таких случаях надо действительно принимать другие меры. 


Очень вероятно, что Вас взломают через свежепереставленную систему
так-же как сломали 20' назад. Вы же не знаете как Вас сломали?
А вот этого я никогда не утверждал! Найти и закрыть дырку, через которую была инфицирована машина, необходимо. Но для этого нужен анализ того как был произведён взлом, а не анализ того что произошло _после_ взлома машины. 

Женя

--
Messages which will be detected from spamtest.ru as SPAM will be deleted immediately. Use [!NO SPAM!] in subject to mark your messages as not being SPAM. Messages marked this way are excluded from SPAM-detection.
Reply to: