 |
 |
|
|
Место для Вашей рекламы!
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Предыдущие публикации:| 2003-07-17 | Microsoft предупреждает о критической проблеме Windows |
Обсуждение и комментарии |
 |
 | ggv 14 Jul 2003 4:37 PM |
| если система допускает неправильное написание кода - он будет написан. Не я это сказал... | |
| | |
| PTO - pto kgb.ru14 Jul 2003 5:32 PM |
| 2 ggv: пишем для юникса демон, который пускаем от рута... демон слушает 25й порт (к примеру :))... безо всякой авторизации запускает в шелле как команду все что на этот порт приходит... "если система допускает неправильное написание кода - он будет написан. Не я это сказал... " | |
| | |
| ggv 14 Jul 2003 5:56 PM |
| РТО - абсолютно верно | |
| | |
| ggv 14 Jul 2003 5:57 PM |
| если root имеет целью убить машину, ничто ему в этом не может помешать. Классический недостаток типично юниксовой схемы | |
| | |
| ggv 14 Jul 2003 5:59 PM |
| это, кстати, классика :) опять блин классика :) классическая проблема наличия одного "бога" в системе. Нет шоб по уму - разнести роли. безнопастнойть в зависимости от типа действия - одним ролям, выполнение действий - другим, и т.д., ну да вы знаете. | |
| | |
| ggv 14 Jul 2003 6:07 PM |
| UNIX то был создан людьми сугубо творческими :) как мы все знаем. Здорового бюрократизма в ём явно нехватает :) Но, видимо, это не только проблема юникс :) Как, собственно и показано в статье мужика. Ну про обмен сообщениями между программами в вынь. | |
| | |
| ggv 14 Jul 2003 6:11 PM |
| напоминает старый анектод - Письмо на email "Люди добрые, я студент-троечник, написать нормальный вирус немогу, пожалуйста, кто получил это письмо запустите rm -rf от корня! Спасибо!" | |
| | |
| ggv 14 Jul 2003 6:12 PM |
| помоему, ситуция в анектоде ничем не отличаеться от ситуации предложенной РТО :) Разве нет? :) | |
| | |
| ggv 14 Jul 2003 6:15 PM |
| Только статья от том, что MS написала этакий "демон, который пускаем от рута... демон слушает 25й порт (к примеру :))... безо всякой авторизации запускает в шелле как команду все что на этот порт приходит" и называеться это системой обмена сообщениями. Ну можеть я чего не так понял. | |
| | |
| bravomail.boom.ru 14 Jul 2003 7:07 PM |
| всё это грязные происки сетевых админов. даешь свободу локальным юзерам! | |
| | |
| Anti-MS 14 Jul 2003 7:56 PM |
| 2PTO Ага и такой демон, он часть винды by desing, и не починить его никак. А в винде вообще "если делать все правильно" то проблем не будет. А на практике винда никак не продназначена, чтобы там что-либо делать не через ж.. МС говорит пишите мол прямой софт, а сама никак не может позатыкать дыры в своем же кривом софте и в компонентах винды. И такая же ситуация с администрированием. Помните когда был червяк SQLный? Сначала МС кричала что мол просто надо админить как следует, патчики скачивать. А потом оказалось что в своих собственных сетях у нее ситуация такая же. И дальше будет так же продолжаться. Потому что цель МС - выкачать побольше денег (в том числе уменьшать себестоимость написания кода) идет в разрез с интересами пользователей - получать качественно написаный код. | |
| | |
| Alexander S. 14 Jul 2003 8:07 PM |
| 2 Anti-MS: Ну спасибо, открыл нам Америку. Оказывается (!!!!) у капиталистической корпорации цель- получение прибыли а не что-то другое. Вот у нас глаза и открылись. Спасибо, Маркс-II. | |
| | |
| Petr Chulkov - petrchulkov.net 14 Jul 2003 8:09 PM |
| 2Anti-MS : >А потом оказалось что в своих собственных >сетях у нее ситуация такая же. потому как и там работают люди.... тем более, насколько я помню, проблема была на компах разработчиков, а на серверах, что администрят "взрослые" админы проблемы с этим небыло... | |
| | |
| рамштекс 14 Jul 2003 10:04 PM |
| 2ggv: полный бред! "как свинья в апельсинах" это самая точная харатеристика | |
| | |
| ggv 15 Jul 2003 12:28 AM |
| ёмко :) | |
| | |
| - 15 Jul 2003 5:00 AM |
| лучше дайте номер статьи в КБ :) | |
| | |
| Tolik 15 Jul 2003 6:24 AM |
| Так всё же кто-нибудь расскажет, что на одном десктопе делают приложения с разными уровнями привилегий ? | |
| | |
| _nick_ 15 Jul 2003 7:17 AM |
| to Tolik Насколько я помню, можно искуственно вызвать Dr. Watson, который работает от привиллегированного пользователя. | |
| | |
| Tolik 15 Jul 2003 7:23 AM |
| Ну, той прошлой "атаки" описание читали ... Генштаб после этого месяц пил от черной зависти к стратегам. Македонский и ганнибал в гробах перевернулись | |
| | |
| dem 15 Jul 2003 9:25 AM |
| 2ggv а ты на RSBAC посмотри - http://www.osp.ru/os/2002/07-08/020_1.htm , а здесь без воды - http://www.osp.ru/os/2001/04/045.htm. Вот тебе рут ничего и не сделает. Я жду недождусь хоть одного массового дистрибутива с этим (что-бы в работе обкатать). Вот что значит открытый код. Взяли и сделали защищенную ОС сравнительно небольшими силами... | |
| | |
| Qrot 15 Jul 2003 10:09 AM |
| видимо, этот "эксперт" такого же плана что и прошлогодний.. который тоже в статье упоминается. тот, прошлогодний, был безработным - а щас уже старший консультант.. типа приподнялся на PR. а этот глядишь и CTO станет. оно вообще хоть какой-нибудь эксплойт привело или что? а то в заголовке напугали то.. желтая пресса. | |
| | |
| ggv 15 Jul 2003 11:15 AM |
| dem - чего ждать то? Role Based Access сделан давно уже и на соляре и на aix. Бери и пробуй. Все описано. при чем тут открытый код - пока не понял... | |
| | |
| ggv 15 Jul 2003 11:21 AM |
| dem - кстати, изначально role based access был встроен в NT. именно изначально. Но, видимо, имлементация хромает, или фиг знает чего там. Ну что прокол есть с системой обмена сообшениями. Так что надо еще будет потестить RSBAC. А то вдруг найдуться куча обходный путей... Неприятно будет. Кстати, sudo - простейшая (но довольно эффективная для своего уровня) форма Role Based Access. Но опять же, не без недостатков. | |
| | |
| ggv 15 Jul 2003 11:23 AM |
| И ващще, весь это разговор фигня, а вот когда заставят в трех журналах расписаться, все нафиг из карманов выложить, проверят потом, а потом в комнату типа банковского сейфа запустят - для того, чтобы почитать. И обратно таким же порядком. А по другому безопастность не обеспечить... К сожалению... | |
| | |
| Anti-MS 15 Jul 2003 11:36 AM |
| 2Alexander S. Кому-то не новость, но не все это понимают тем не менее. Не все "Капиталъ" читали ;) 2Petr Chulkov Ну конечно ;) Во крупных фирмах, никто сам ничего не админит. ВСЯ техника обслуживается "взрослыми" админами. Правильно тоже людьми, это и доказывает что де факто МС не может обеспечить безопасность как бы не старались. | |
| | |
| dem 15 Jul 2003 12:44 PM |
| 2ggv Ну ежели role based access в NT, то тогда точно труба. Кде в NT секьюрити офицер? Как система может САМА понизить привилегии Ворда что-бы он из папки "Мои документы" не выползал? Мы-же но о простейших принципах говорим. А то получаются сферичиские кони в вакууме. А вот AIX и прочие ксениксы с ашпуксами я к сожалению не щупал. Начальство все больше деньги на мерседесы тратит.... Но если просветите буду очень благодарен. Опен Соурц тут причем? Да притом что без него этим ребятам пришось бы делать всю ОС с нуля. А потом офисы под нее. Про нашу ос Феникс слышали? Вот и я только слышал. А RSBAC попробовать могу. (так сказать народный автомобиль) | |
| | |
| Tolik 15 Jul 2003 1:08 PM |
| Ну, в NT еще нету, а в .NET оно есть. Вполне может как раз и понизить | |
| | |
| ggv 15 Jul 2003 1:58 PM |
| dem - я не знаю, как там в NT реализовано, просто читал давно, что ее на C2, что-ли, сертифицировали. Ну видимо конкретный экземпляр, или как там водиться. Как в соляре и aix сделано - в доке доступной на их сайтах всё описано. Что можно сделать, что нельзя. Но я не думаю, что у обоих из них это совершенные системы.... Иначе бы вою было - на весь свет! :) | |
| | |
| dem 15 Jul 2003 2:27 PM |
| 2ggv А я почитал как в RSBAC сделано, обалдел. Там даже системные вызовы процесс имеет право делать только так как разрешено. Причем последовательность вызовов тоже можно указать. Единственное сразу приходит мыслью Это-же все еще указывать надо!!! А если говорить о всяких вордах, которые в момент своей работы спонтанно (ну тоесть даже их создатель не уверен что они делают из-за всяких COM) с кем только не работают, начиная от файлов кончая MAPI ODBC OpenGL и прочими сокетами. Это-же неимоверно? Я кстати когда впервые политики увидел, то-же подумал: Это-же теперь за каким количеством параметров следить надо??? Это-же теперь при установке системы надо ничего не забыть. А проверить как? А если слетело (скажем умный инсталлер снес)? Вот МС на червя и попал.. Чем сложнее технология, тем сложнее за ней следить. Тут и вспоминаешь об ИБМ проекте Элиза помоему. Но тут другое, а если эту элизу накроет??? | |
| | |
| PTO - ptokgb.ru 15 Jul 2003 5:16 PM |
| 2 ggv: не, статья не про то, что система обмена сообщениями у МСа есть такой демон, а что в одном из сервисов есть бага, которую можно использовать посредством системы обмена сообщениями 2 Anti-MS: правда никак?! а чего бы его под пользователем с ограниченным полномочиями не запустить... или вообще задизейблить нафиг? вы правда думаете, что в МСе все машины централизованно администрятся? дык там у каждого манагера на машине может стоять какой-нить MSDE, в котором такая бага тоже происходит... ну в Оракле ходил сламмер... там наверное тоже всякие криворукие сидят... (я видел письмо от Ларри Элиссона своим орлам - дружбан из Оракла показывал) Вот ведь странно... каждый год МС увеличивает сильно вложения на research & development увеличивая стоимость написания кода вроде бы... ан оказывается все наоборот 2 ggv: по ролевой системе безопасности - она по-другому называется на самом деле... в системе есть права и привелегии (право - прочитать такой-то файл, привелегия - добавить нового пользователя)... по-умолчанию Администратор есть носитель большинства привелегий, но можно создать других пользователей, раздать им привелегии и часть у админа удалить (но он же может их себе снова вернуть :))... аудит так же наличиствует и специальный аудитор безопасности может собирать себе на машину всю информацию и контролировать админа и секьюрити админа (кто контролирует контролирующего (с) кто-то из великих) ролевые определения безопасности сейчас широко используются в приложениях МСа... СКЛ-сервер - ролевая безопасность, Эксчендж - ролевая, Шарепоинт - ролевая... в Вин2003 роли назначаются уже не пользователям, но серверам... это для упрощения того геммороя, про который рассказывает dem - т.е. по умолчанию все закрыто, говорим серверу - будешь ты "веб-сервер" и включаются те настройки, которые ему нужны для минимальной работы, потом уже включаются дополнительные сервисы (АСП и АСП.НЕТ к примеру) 2 dem: секьюрити админ в нт называется просто "администратор", он создает других пользователей, раздает им привелегии на выполнение определенных функций администратора (сбросить очередь печати, поменять пароль человека из своего отдела)... делается это еще с помощью делегирования полномочий - если вы действительно планировали разворачивание АД, то должны про это знать. Сделать ворд работающим только в одном каталоге не проблема. на самом деле именно так ворд и работает с ZAK - zero administration kit - там пользователям прописываются функциональные роли - т.е. вот "вася пупкин - операционист - ему можно только ИЕ вот на такие сайты и с такими-то настройками безопасности - вон "тетя маша" - бухгалтер - ей можно запускать эксель и 1с, при этом доступ только вот в эту папку... при этом этот Эксель никуда не сможет сохранить файл окромя папки данного пользователя. В ближайшее время нас еще ждет выпус новой примочки от МСа... для ВС2003 - типа создал я в ворде документ - посылаю его коллеге... а он может только его на экране посмотреть - ни распечатать, ни в клипбоард скопировать... типа нечто аля "мандатори акцесс"... посмотрим как это будет работать - мне так кажется гемморойно будет... хотя адвокатские конторы будут счастливы 2 ggv: NT 3.51 был сертифицирован на С2 без сети, НТ4 с сетью, Вин2000 по коммон критерию EAL4 (примерно B1-B2 старых цветных книг - но они сожжены уже). по правилам сертификации на С2 сертифицируется _система_ в целом... как чего настроить есть на сайте МСа весьма подробно... | |
| | |
| ggv 15 Jul 2003 9:51 PM |
| это хорошо, если это только бага, а не ошибка в архитектуре, приводящая к появлению багов. | |
| | |
| Дима 16 Jul 2003 10:13 AM |
| to PTO: Не, Андрей, про B1 ты слегка загнул все же... ;-) | |
| | |
| dem 16 Jul 2003 10:50 AM |
| 2PTO Мне кажется вы не поняли про офицера. Дело в том что как вы сказали администратор МОЖЕТ себе права вернуть... Опять-же то что можно сказать что машина веб сервер это хорошо (шаблоны грамотных настроек в принципе и все). Насколько я знаю что-бы софтина подчинялась политикам, я как программист должен учесть это при написании кода. А в RSBAC я кладу ЛЮБУЮ софтину. Собираю статистическую информацию по системным вызовам и строю карту переходов (как KA). Тоесть например почтарь имеет право запускать вим только после того как он сохранил в tmp файл и этот вим имеет право открывать только этот файл (роль у него такая). Может конечно я не прав. Но IMHO так если даже дырка в экселе, фиг он куда выберется | |
| | |
| PTO - ptokgb.ru 16 Jul 2003 11:15 AM |
| 2 Дима: ну типа ряд требований выполняет :)... не все... четкого соответствия между коммонкритерия и радужными книгами нет... но "большие юниксы" сертифицированные до СС на Б1 сертифицированы по СС на тот же уровень, что и Вин2000... вот тут есть сравнение на одном из слайдов http://www.isse.gmu.edu/~fparisi/notes/Lecture9-handout.pdf там видно чему соответствует ЕАЛ4 | |
| | |
| PTO - ptokgb.ru 16 Jul 2003 11:23 AM |
| 2 dem: секьюрити офицер в РСБАКе точно такой же бог и царь... он может себе назначить что угодно. т.е. в виндах "Администартор" = "секьюрити офицер"... он может завести _других_ админов, у которых будут менее крутые полномочия в системе. далее, любая программа в виндах выполняется в контексте безопасности пользователя... и если ему разрешено читать/писать только туда, то и прога не сможет это обойти... т.е. если применены политики безопасности и пользователю сказано, что он может знать только об этом каталоге, то какую-бы программу он не запустил на CreateFile() или поиск он будет получать инфу только из системы... попробуйте позапускать ФАР - он будет видеть только МайДокументс... я сам один раз попал - был общедоступный комп - мне нужно было скачать побыстрому файлик... зашел к себе в почту, скачал в Майдокументс... вставляю ЮЗБ ключик... система его распознает, добавляет как новое устройство типа диск... только вот я его не вижу и никакими способами у меня не получилось тот файл скопировать... | |
| | |
| dem 16 Jul 2003 11:39 AM |
| 2PTO Цитата "При этом root, «всесильный администратор», не может ни повлиять на защиту RSBAC, ни прочитать значительную часть хранимой в системе информации. Так, в Castle по умолчанию пользователь с правами root не может читать информацию пользователей из каталога /home. Администрированием прав RSBAC занимается «офицер безопасности» secoff, который в остальном — обычный пользователь, неспособный своими действиями повредить систему. Тем не менее, только у него есть полномочия на изменение поведения защиты RSBAC. " Тоесть неправда ваша офицер в рсбаке не всесилен и даже права себе не может дать... Кстати А как тогда получится запустить FAR если доступа вообще нет никуда кроме My Documents? Тоесть даже execute доступа получается нет? А если есть. то фар плагины свои ищет.... | |
| | |
| PTO - ptokgb.ru 16 Jul 2003 12:45 PM |
| 2 dem: офицер безопасности может назначить роль "системный администратор" пользователю "мнелюбимому"... это в ЕГО роли прописано, что он назначает роли другим... пользователи в Виндах создаваемые с их пользовательскими каталогами тоже только могут их читать - админу туда доступа нет - только если он сделает take ownership данного файла/каталога пользователю можно прописать какие приложения он может запускать... более ничего он не сможет запустить Встречный вопрос - проглядел еще раз доки на РСБАК... что-то не понял я какой модуль обеспечивает контроль последовательности вызовов в приложениях - ну типа если вот это приложение не прочло файл такой-то, то не сможет отправить пакет по порту такому-то... или что-то типа этого... или вы просто про аудит событий безопасности разговор вели? | |
| | |
| dem 16 Jul 2003 4:53 PM |
| 2PTO Судя по всему я выдал желаемое за действительное (или где-то еще прочел). Тоесть не надо строить никаких последовательностей системных вызовов. Но модель Белла-Лападулы (модуль MAC) как я понял делает нечто подобное. Тоесть VIM запущенный из почтового клиента выполняет роль смотрелки писем и следовательно имеет доступ только к файлам созданым самим почтовым клиентом. | |
| | |
| ← июнь 2003 | 8 9 10 11 14 15 16 17 18 | август 2003 → |
Место для Вашей рекламы!