В сети зафиксирована (http://blogs.paretologic.com/malwarediaries/index.php/2010/1... кроссплатформенная модификация сетевого червя Koobface (http://en.wikipedia.org/wiki/Koobface), поражающий не только Windows-системы, но и машины, работающие под управлением Linux и MacOS X. Для своего распространения червь использует социальные сети, такие как Twitter, Facebook и MySpace, публикуя в них под аккаунтом инфицированного пользователя сообщения, склоняющие друзей к нажатию на ссылку, такие как "не ты ли это на данном видеоролике ?".
Ссылка ведет на стилизованную под YouTube страницу, при попытке просмотра видеоролика на которой загружается вредоносный Java-апплет jnana.tsa. Апплет эксплуатирует недавно найденную уязвимость (http://www.opennet.me/opennews/art.shtml?num=28263) в Java-плагине для выхода за пределы изолированного окружения, сохраняет себя в системе и продолжает цепочку вредоносных публикаций уже от имени новой жертвы.
Закрепившись в...URL: http://news.softpedia.com/news/New-Koobface-Variant-Infects-...
Новость: http://www.opennet.me/opennews/art.shtml?num=28451
не зря я социальным шлаком не пользуюсь. только аська. этого за глаза хватает.
ну а ява. её не каждый устанавливает(линуксоид естественно, оффтоп-юзерам выбора не давли)
Казалось бы, причём здесь социальный шлак? Всё дело в элементарных правилах безопасности. Через аську вирусы тоже на ура расходятся.
> Через аську вирусы тоже на ура расходятся.Ну да. Какой-то самоходный троянец на яве. Тоже кроссплатформенный видимо...
Аська - тоже шлак... А вот правила безопасности - это полезно, например браузер в сендбоксе...
> не зря я социальным шлаком не пользуюсь. только аська. этого за глаза
> хватает.
> ну а ява. её не каждый устанавливает(линуксоид естественно, оффтоп-юзерам выбора не давли)В Windows Java тоже не устанавливается по умолчанию, насколько помню. Правда ее настойчиво предлагают. :)
>не зря я социальным шлаком не пользуюсь. только аська.Всё дело в том, что аська ничем не лучше социального шлака.
>>не зря я социальным шлаком не пользуюсь. только аська.
> Всё дело в том, что аська ничем не лучше социального шлака.Люди - социальный шлак? Ведь им надо как-то общаться.
Да, большинство людей - социальный шлак. И общаться с ними никак не надо. А с оставшимся небольшим процентом общаться надо в более комфортной обстановке, чем социалка - за кружечкой чая, например... Или хотя бы в более приватной обстановке, чем социалка - будь то IM, почта или телефон.
> Да, большинство людей - социальный шлакСебя, конечно, вы никоим образом социальным шлаком не считатете.
И у вас наверное есть антишлаковый социальный патент.
Смею предположить, вы сейчас общаетесь в "социалке"... Самокритично, однако.
>Люди - социальный шлак?Президент Гугла уже высказывался в том роде, что
"Мы знаем о вас больше, чем вы можете себе представить".>Ведь им надо как-то общаться.
Для общения в инете лучше выбирать открытые, проверенные
на вшивость средства, а не "аськи" и прочие "вконьтакты".
> Люди - социальный шлак? Ведь им надо как-то общаться.Да, после чего видны их примитивные интересы и убогость мышления. Те кто этим не страдает - в всяких фэйсбуках и вконтактах не сидят. Благо, автор фасебука назвал тех кто ему доверяет "dumb f*cks". Ну вот кто пользуется фасебуком и его клоном - именно такие. По мнению автора заварушки :).
>> Люди - социальный шлак? Ведь им надо как-то общаться.
> Да, после чего видны их примитивные интересы и убогость мышления. Те кто
> этим не страдает - в всяких фэйсбуках и вконтактах не сидят.
> Благо, автор фасебука назвал тех кто ему доверяет "dumb f*cks". Ну
> вот кто пользуется фасебуком и его клоном - именно такие. По
> мнению автора заварушки :).А те, кто пользуется, но не доверяет?
Кому надо - не обосреться и брякнет на трубу, остальные идут лесом. Удалил аську два года назад и не жалею.
А о каком браузере идет речь вообще? Или используются разные уязвимости для разных браузеров?
Я так понимаю, Фаерфокс. Если это так, то это серьезное упущение в тексте новости.
А я ведь не зря боялся того, что эта уязвимость и в Linux проявится... И отключил Яву.
> не зря я социальным шлаком не пользуюсь. только аська. этого за глаза хватает.Как бы ничто не мешает получить этот ява-крап и с другого сайта. Найдет ктонить плевую XSS и готово: белый и пушистый сайт начнет вам отгружать чей-то левак с трояном.
А разве аська -- это не социальный шлак?
Для работы используют джаббер.
Совсем не везде. Да и через джаббер лично я запросто треплюсь ниочем...
> не зря я социальным шлаком не пользуюсь. только аська.Нужен не ICQ, а XMPP.
Кто еще скажет, что Linux не уязвим?
Неуязвимых систем не бывает.Другое дело, что бывают очень надежные системы, в которые трудно проникнуть и еще труднее закрепится.
Кстати обновление прилетело минут за 10 до новости.
Уважаемый!
Уязвимость в JAVA-машине.
При чем тут линукс???
При том, что главная уязвимость любой ОС это простойка между компом и креслом.
в данном случае эта прослойка должна быть еще и участником соцсетей.но самое интересное, что большинство коментариев от не участников все-равно насели на тему уязвимости в линухе.
а в новости ведь еще и мак указан, а там жава обновляется последнее время хреново.
и ведь ничего не сказано, что под бзд он будет вести себя точно также, как и под линем.
и пот соляркой...в обшем, когда бздишнег айзен расхваливает жаву, то бзд крута.
а когда обнаруживается дыра в жаве, то про бзд уже и не слышно, и не видно.
> в обшем, когда бздишнег айзен расхваливает жаву, то бзд крута.
> а когда обнаруживается дыра в жаве, то про бзд уже и не
> слышно, и не видно.Java Plug-in не работает в Firefox 3.6.x. под FreeBSD [amd64]. Ничего больше по этому поводу сказать не могу.
Это не баг, это фича :)
> это простойкаСами вы "простойка" :P. Как максимум, "простойка" может выпилить яву нахрен и/или запретить ее в браузере. А еще лучше - NoScript'ом гайки затянуть. Полезная вещь: большая часть уязвимостей (которые по жизни нуждаются в JS) просто зарубается на корню.
> NoScript'омГлючит часто.
> Глючит часто.Как это? oO Как максимум - заставляет дергаться на разрешеие скриптов на новых сайтах. Но это не баг а фича. Как бонус - всякие борзые попапорекламные скрипты, флеш и прочие порномегабаннеры - идут туда, где им самое место.
>> это простойка
> Сами вы "простойка" :P. Как максимум, "простойка" может выпилить яву нахрен и/или
> запретить ее в браузере. А еще лучше - NoScript'ом гайки затянуть.
> Полезная вещь: большая часть уязвимостей (которые по жизни нуждаются в JS)
> просто зарубается на корню.Как же поможет NoScript отрубить выполнение Java-апплетов внутри браузера? Java, вообще-то, не нуждается в наличии или отсутствии поддержки JavaScript — в частности, в Applet Viewer'е из JDK JavaScript не поддерживается.
> Как же поможет NoScript отрубить выполнение Java-апплетов внутри браузера?Ой, ну зачем же так палить то свое ламерство? Получается что вы NoScript никогда в жизни не видели, а рассуждать лезете? :)
> Java, вообще-то, не нуждается в наличии или отсутствии поддержки JavaScript
А NoScript, вообще-то, не ограничивается удавкой яваскрипта ;). Он давит до кучи на untrusted сайтах *все* интерактивное говно. И флеши, и сильверлайты, и яву, и яваскрипт и чего там блин еще (чуть ли не вплоть до HTML5 видео). Кардинально и очень эффективно, черт возьми. Так что FAIL, как обычно. На EPIC к сожалению не тянет, т.к. больно уж тупой и унылый.
> Как же поможет NoScript отрубить выполнение Java-апплетов внутри браузера? Java, вообще-то,
> не нуждается в наличии или отсутствии поддержки JavaScript — в частности,
> в Applet Viewer'е из JDK JavaScript не поддерживается.Да уж, а я думал, все БСДшники вменяемые. Делать такие громкие заявления не владея предметом присуще только виндузятникам, я думал.
А при том, что линукс благополучно становится бот-хостом, зомби для ддосов.
На большинстве дистрибутивов по дефолту файрволом закрыты все порты (кроме используемых), так что java-приложение не сможет принимать команды, а просто будет висеть в памяти.
Ну а если "пользователь" сам отключает файрвол или просто открывает все порты, то для него без разницы какой ОС пользоваться, компьютер с его же информацией от него никто не защитит...
1) Это что еще за большинство такое? o_O
2) Еще раз почитайте как троян получает комманды :/
они закрыты для конектов из вне, но открыты если соединение инициирует зараженный компьютер.
Так что не стоит уповаться мнимой защите :)PS. хомячки в опастности - неуязвимый вирус оказывается тоже может инфицирован вирусами!
> неуязвимый вирус оказывается тоже может инфицирован вирусами!В этом месте читатель понимает что такое stack overflow и как выглядит деление на ноль :)
Ну это всего лишь вопрос времени. Как только появится первый серьезный вирус, завернут firefox в песончницу selinux и гуляй вася.
Лучше завернуть его до. После драки любая винда кулаками махать может.
В Ubuntu он уже завернут в AppArmor
> В Ubuntu он уже завернут в AppArmorфаерфокс с дейли ппа скипается в правилах апармора как и фокс4 оттуда же...
Можно сколько угодно спорить о деталях и формулировках. Факт остается фактом - Линукс-машины тоже подвержены риску запражения.
А кто-нибудь это отрицал?
> Кто еще скажет, что Linux не уязвим?Linux - это йадро (тм)
Ядро скомпрометировано? Нет. Значит, это не линукс-малварь. Скорее ява-малварь. Что и не удивительно. Что ещё хорошего можно ждать от этого <нужное вписать>?
>> Кто еще скажет, что Linux не уязвим?
> Linux - это йадро (тм)
> Ядро скомпрометировано? Нет. Значит, это не линукс-малварь. Скорее ява-малварь. Что и не
> удивительно. Что ещё хорошего можно ждать от этого <нужное вписать>?ок - назовем это linux дистрибутивы скомпрометированы :) Ибо очень многие ставят gcj или openjdk в конфигурации по умолчанию.
> gcj или openjdk в конфигурации по умолчанию.Среди этих очень многих нет самого популярного - бубунты.
То есть если найдёт уязвимость в Firefox позволяющую получить доступ к системе вы будете кричать, что Linux уязвим?
> То есть если найдёт уязвимость в Firefox позволяющую получить доступ к системе вы будете кричать, что Linux уязвим?Нет конечно! Это будет уязвим Firefox и только он. Линкс же по-определению неуязвим. Вообще.
>> То есть если найдёт уязвимость в Firefox позволяющую получить доступ к системе вы будете кричать, что Linux уязвим?
> Нет конечно! Это будет уязвим Firefox и только он. Линкс же по-определению
> неуязвим. Вообще.Lynx, Links или Linux, определитесь пожалуйста.
Фича в том, что многие линуксоюзвери считают себя защищенными от всех бед. Признаюсь, сам грешен
От плохого зрения GNU/Linux точно не защитит :/
ну, один дохлый вирус в год вместо 10000 это все-таки защита.А вообще я всегда Java в браузере отключаю, и ставлю в фаерфокс Noscript, чего и всем желаю.
Хотите еще защищеннее? - используйте Apparmor (aa-enforce /etc/apparmor.d/usr.bin.firefox , restart ff) или http://ycbl.livejournal.com/44509.html / http://calum.org/posts/running-firefox-as-another-user-using...
> Кто еще скажет, что Linux неуязвим?А кто такое говорил? Фанатики разве что, которые уверены, что Линукс лучше других ОС совершенно во всем, или хуже других ОС (как на стопинуксе). Как стать вторым? Легко. Внушить себе что линукс Никогда не зависает, Никогда не тормозит, В Нем Нет Ошибок, и однажды столкнуться с одной из них. Ааа! Отстойная система! Только кто таким чудикам внушил, что система вообще без глюков, тормозов и ошибок?
Надо использовать SELinux, тогда всё будет чики
Это ж UAC для Linux ^^
Скорее, UAC это "SEWindows"
> Скорее, UAC это "SEWindows"swdo или wc-su тогда уж. :]
> swdo или wc-su тогда уж. :]Я бы сказал что это просто WC, хотя-бы потому что большая часть виндовых программ напрочь не в курсе как с этим бороться. Так что то что в *никсах естественно уже десятилетия, некоторые только осиливают, испытывая грабли на своих лбах.
> испытывая грабли на своих лбах.Это если взрослые грабли, а если детские?
> Это ж UAC для Linux ^^Ну и сравнение, UAC это просто пародия и никакого отношения к MAC не имеет
а mac тут при чем?
MAC == mandatory access control.
есть много разных TLA :)// К.О.
> MAC == mandatory access control.
> есть много разных TLA :)спасибо за разъяснения
> // К.О.
вы меня нокаутировали)?
Ubuntu - уже вышло обновление безопасности, только что скачал. Обновлен уже СЕЙЧАС, а НЕ ВО ВТОРНИК.Дыра действительно в Java-плагине, однако школьникам и в особенности дошколятам будет выгоднее трактовать это как "Linux дырявый".
Если сравнивать возможности проникновения в винду и linux, то окажется, что в вниду проникнуть легче, чем в Linux, но тем не менее в Linux проникнуть можно. Сейчас сам занимаюсь экспериментами по получению админских прав на машине средствами соц инженеринга. И соответственно ищу методы защиты.
> Если сравнивать возможности проникновения в винду и linux, то окажется, что в
> вниду проникнуть легче, чем в Linux, но тем не менее в
> Linux проникнуть можно. Сейчас сам занимаюсь экспериментами по получению админских прав
> на машине средствами соц инженеринга. И соответственно ищу методы защиты.Соц. инженеринг не имеет отношения к опреационке на компе...
> Соц. инженеринг не имеет отношения к опреационке на компе...Косвенно - имеет. В плане возможностей, предоставляемых ОС после удачного взлома системы этим методом.
> Соц. инженеринг не имеет отношения к опреационке на компе...Единственная цель соц. инженеринга - заставить юзера запустить на исполнение мой код со своими правами, а потом - дело техники. И Linux уже становится причем.
не только выгоднее но и правильнее
> не только выгоднее но и правильнееУ меня не стоит Java-плагина к браузеру - давай, залезь с помощью этой уязвимости. Что? Не можешь? Ну так Linux уязвим или все-таки плагин? А если винду ломают через флэш-плагин то как правильнее трактовать "винда дырява" или "плагин" или "пользователь дурак раз не обновляет" (или ОС не предлагает обновления или что)?
>> не только выгоднее но и правильнее
> У меня не стоит Java-плагина к браузеру - давай, залезь с помощью
> этой уязвимости. Что? Не можешь? Ну так Linux уязвим или все-таки
> плагин? А если винду ломают через флэш-плагин то как правильнее трактовать
> "винда дырява" или "плагин" или "пользователь дурак раз не обновляет" (или
> ОС не предлагает обновления или что)?конечно windows дырявое :) вы не знали?
>> не только выгоднее но и правильнее
> У меня не стоит Java-плагина к браузеру - давай, залезь с помощью
> этой уязвимости. Что? Не можешь? Ну так Linux уязвим или все-таки
> плагин? А если винду ломают через флэш-плагин то как правильнее трактовать
> "винда дырява" или "плагин" или "пользователь дурак раз не обновляет" (или
> ОС не предлагает обновления или что)?Винда. Потому что под ней есть ещё более 9000 способов поломать систему и получить админа.
Дык там и так каждый первый под админом работает. Удалил Unlocker'ом ntfs.sys и системе капздец.
> Дык там и так каждый первый под админом работает. Удалил Unlocker'ом ntfs.sys
> и системе капздец.Это не вирус, а школоло-стайл прикол. Лечится на раз-два.
>> Дык там и так каждый первый под админом работает. Удалил Unlocker'ом ntfs.sys
>> и системе капздец.
> Это не вирус, а школоло-стайл прикол. Лечится на раз-два.У бабушки\домохозяйки вряд ли есть навыки даже для того, чтобы просто загрузиться с диска восстановления.
>>> Дык там и так каждый первый под админом работает. Удалил Unlocker'ом ntfs.sys
>>> и системе капздец.
>> Это не вирус, а школоло-стайл прикол. Лечится на раз-два.
> У бабушки\домохозяйки вряд ли есть навыки даже для того, чтобы просто загрузиться
> с диска восстановления.Если под *nix запустить rm -rf ~/*, то восстановление файлов бабушка/домохозяйка точно не осилит. Я сам далеко не сразу его осилил.
То есть? Вообще-то, просто загрузится пустой профиль нового юзера.
Те же кеды создадут необходимые файлы сами.
Ну а восстановление файлов? Для end-user'ов есть фирмы, восстанавливающие удаленные файлы. Они уже давно, в основной своей массе, восстанавливают и ext[234]|xfs|ufs, не только NTFS|vFAT
> То есть? Вообще-то, просто загрузится пустой профиль нового юзера.
> Те же кеды создадут необходимые файлы сами.
> Ну а восстановление файлов? Для end-user'ов есть фирмы, восстанавливающие удаленные файлы.
> Они уже давно, в основной своей массе, восстанавливают и ext[234]|xfs|ufs, не
> только NTFS|vFATЯ к тому, что в винде можно не только повесить бота, но и поиметь админа без проблем. Но(при соответствующих настройках) малвари ничто не помешает юзерские файлы потереть и в линуксе. А потеря "клёвых фоточек" для пользователя куда критичнее потери ntfs.sys.
> Но(при соответствующих настройках) малвари ничто не помешает юзерские файлы потереть и в линуксе. А потеря "клёвых фоточек" для пользователя куда критичнее потери ntfs.sys.линуксовые админы этого пока не понимают, и, более того, считают что так и должно
>> Но(при соответствующих настройках) малвари ничто не помешает юзерские файлы потереть и в линуксе. А потеря "клёвых фоточек" для пользователя куда критичнее потери ntfs.sys.
> линуксовые админы этого пока не понимают, и, более того, считают что так
> и должноПонимают. Иначе не бэкапили бы данные. Просто такое поведение для вирусов не очень характерно. Нынешние вирусы стараются не убивать систему, ведь это их питательная среда.
>>> Но(при соответствующих настройках) малвари ничто не помешает юзерские файлы потереть и в линуксе. А потеря "клёвых фоточек" для пользователя куда критичнее потери ntfs.sys.
>> линуксовые админы этого пока не понимают, и, более того, считают что так
>> и должно
> Понимают. Иначе не бэкапили бы данные. Просто такое поведение для вирусов не
> очень характерно. Нынешние вирусы стараются не убивать систему, ведь это их
> питательная среда.http://www.securitylab.ru/news/399917.php
«Лаборатория Касперского» предупреждает о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.
Один из зловредов представляет собой модификацию опасного троянца GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается.
GpCode не распространяется самостоятельно – на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 года, новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.
Ну что ж, видимо сильно у Касперского продажи упали...По сабжу: вот и проявила себа обратная сторона кросс-платформенности: сначала тот случай с дмисками к LF, и вот теперь опять всякая гадость попёрла. Не к добру всё это.
> Ну что ж, видимо сильно у Касперского продажи упали...
> По сабжу: вот и проявила себа обратная сторона кросс-платформенности: сначала тот случай
> с дмисками к LF, и вот теперь опять всякая гадость попёрла.
> Не к добру всё это.к добру. линукс становится популярным. вполне нормально и ожидаемо.
Если популярность приведет к вирусам и тоннам хомячков, то популярность не нужна.
> Если популярность приведет к вирусам и тоннам хомячков, то популярность не нужна.А еще популярность приводит к наличию кучи софта (в т.ч. спецефического), работе _любого_ оборудования без плясок с любым ядром, даст больше работы linux-спецам и прочие плюшки.
Защитить Linux от вредоносного ПО в разы проще. чем любую другую ОС, поэтому вирусных эпидемий среди Linux-машин небыло и никогда не будет.
>> Если популярность приведет к вирусам и тоннам хомячков, то популярность не нужна.
> А еще популярность приводит к наличию кучи софта (в т.ч. спецефического), работе
> _любого_ оборудования без плясок с любым ядром, даст больше работы linux-спецам
> и прочие плюшки.
> Защитить Linux от вредоносного ПО в разы проще. чем любую другую ОС,
> поэтому вирусных эпидемий среди Linux-машин небыло и никогда не будет.Оборудование - ерунда. Уже много лет как можно купить устройства, поддерживаемые линуксом. Да, при этом думать надо до покупки, а не после. "Линукс-спецы" - это админы разве что. ну будут вин- или хрен-админами, невелика разница. А программисту в общем случае не особо важно, под что писать, да и серверы как были под линуксом, так и останутся - хомячковость здесь роли не играет. Специфический софт... Софт... Видно уже, какой это софт. Путь от емакса до томбоя. В гробу я видел такую популярность.
> Оборудование - ерунда. Уже много лет как можно купить устройства, поддерживаемые линуксом. > Да, при этом думать надо до покупки, а не после.Делать больше нечего как перед покупкой выяснять поддерживается оно или нет. Если тебя эта ситуция устравает, тебе не жалко времени и усилий, то поверь у других людей иной взгляд на эту проблему.
И даже если выяснил что одна модель поддерживатся а другая не полностью, то тебе все равно какую брать ? Ты думаешь всем все равно ?
> Специфический софт... Видно уже, какой это софт. Путь от емакса до томбоя.
это не специфичный софт, это совершенно стандартный.
Изза специфичного людям приходится сидеть под виндой.Не нравится популярность - идите на OpenBSD, прочуствуйте жизнь без популярности. Можно купить устройства, поддерживаемые OpenBSD. Да, при этом думать надо до покупки, а не после.
популярность = новые драйвера для самых распоследних железок + новые программы
если Вам это не нужно можно попробовать миникс3, куэникс, хайку, фрибсд и этсетра
--
кто говорит что линукс защищен по самые яйца тот глупец , чем сейчас популярнее станет линукс тем больше "дыр" начнут находить ,
но в отличии от "большой компании" закрываются дыры быстрее , появилась сразу - апдейт пришел , а не в конце квартала
--
также не понимаю суть проблемы , на сервере нет иксов и тем более не лажу с сервера через фокс в инете , а на домашней машинке не критично ...
> Если популярность приведет к вирусам и тоннам хомячков, то популярность не нужна.я надеюсь что после этого модель безопасности линукса развернётся лицом к человеку а не жопой
она развернута лицом.
>Эффективность атаки на Linux-системы также снижается отсутствием поставки
>по умолчанию Java в популярных Linux-дистрибутивах и оперативным выпуском обновлений.В поставке винды Java тоже отсутствует.
Погодите. На сколько я помню java аплеты на Linux из firefox сами не запускаются, вылезает такое красивое окно с предупреждением об опасности.
А если нажимаешь "разрешить", то аплет и без дырок может кое-что натворить, ddos атаку точно.
С учётом того, что поделки, написанные на Java, надо ещё потрудиться, чтоб заставить нормально работать (один полусовместимый друг с другом зоопарк из Sun/Oracle-реализаций, MS, IcedTea и что там в Mac`ах чего стоит), новость о написании червей на ней выглядит удивительно. И раз уж подняли вопрос о GNU/Linux — червячок какую реализацию Java хочет?
Вот и мне это интересно, из коробки в Ubuntu стоит OpenJDK, есть ли в нем эта уязвимость? И вообще вирус который не может запускаться после перезагрузки - это ЛОЛ )))
Нет, в Убунту OpenJDK из коробки не установлен.
> Нет, в Убунту OpenJDK из коробки не установлен.Ubuntu 10.10 из коробки OpenJDK
Почему ЛОЛ? Как раз на линуксе - ни разу не лол. Необходимости в перезагрузке нет почти никогда - компы либо постоянно включены, либо суспендятся вместо полноценного выключения. Так что жить может очень долго, если б ком не залезло (хе, это если б в браузере ява была) месяца три прожило бы, если б не заметил.
> Почему ЛОЛ? Как раз на линуксе - ни разу не лол. Необходимости
> в перезагрузке нет почти никогда - компы либо постоянно включены, либо
> суспендятся вместо полноценного выключения. Так что жить может очень долго, если
> б ком не залезло (хе, это если б в браузере
> ява была) месяца три прожило бы, если б не заметил.у вас кде обновляется без логофа ? иксы без перезапуска ? радеон-ати тоже ? да и фокс перезапускать приходится
вообще-то на жаву есть стандарт. либо язык ему соответствует либо это нечто жабо-подобное
> вообще-то на жаву есть стандарт. либо язык ему соответствует либо это нечто
> жабо-подобноеДаже дырки общие :)?
>вредоносный апплет копирует себя в домашнюю директорию пользователя, но не прописывает себя в файлы автозапускаа в чём проблема с прописыванием в ~/.config/autostart в той же Убунте? если уж может копировать себя, то создать файл для автозапуска тоже не должно вызывать сложностей.. рядовой юзер туда редко заглядывает (я например)
>а в чём проблема с прописыванием в ~/.config/autostart в той же Убунте...Скорее всего это связано как я думаю с тем, что этот червь не затачивался под linux. И вирусы вполне могут существовать и под *nux, но при этом надо так извернуться чтоб получить права root. Хотя это зависит больше от пользователя, но таких пользователей в *nix системах практически нету, которые бы запускали непонятного происхождения бинарники с правами root :-)
>>а в чём проблема с прописыванием в ~/.config/autostart в той же Убунте...
> Скорее всего это связано как я думаю с тем, что этот червь
> не затачивался под linux. И вирусы вполне могут существовать и под
> *nux, но при этом надо так извернуться чтоб получить права root.
> Хотя это зависит больше от пользователя, но таких пользователей в *nix
> системах практически нету, которые бы запускали непонятного происхождения бинарники с
> правами root :-)Рут здесь при чём? Этому червю рут особо и не нужен, насколько я понимаю. Достаточно автозапуск у пользователя себе организовать. А руками в линуксе неизвестные бинарники и от обычного пользователя редко кто запускает...
С правами root я про доступ к файлам системы.
>А руками в линуксе неизвестные бинарники и от обычного пользователя редко кто запускает...А это вы уж загнули, от обычного пользователя как раз запускают. Есть бывшие пользователи windows которые со своими привычками не расстаются даже в linux. Так что для них это не проблема запустить бинарник неизвестного происхождения. И даже опытные linux-пользователи могут лопухнуться (особенно утром в тяжелый понедельник, после воскресенья ;-)).
> С правами root я про доступ к файлам системы.Так в том-то и фишка, что подобной малвари системные файлы не нужны совершенно.
>>А руками в линуксе неизвестные бинарники и от обычного пользователя редко кто запускает...
> А это вы уж загнули, от обычного пользователя как раз запускают. Есть
> бывшие пользователи windows которые со своими привычками не расстаются даже в
> linux. Так что для них это не проблема запустить бинарник неизвестного
> происхождения. И даже опытные linux-пользователи могут лопухнуться (особенно утром в тяжелый
> понедельник, после воскресенья ;-)).Ну, по моему опыту использование репозиториев развращает оченб быстро, народ в принципе перестаёт где-то софт искать. По крайней мере убунтоиды (я других новичков вокруг себя не видел).
> Так в том-то и фишка, что подобной малвари системные файлы не нужны
> совершенно.Наверное я не так выразился, но в общем смысл в том что системные файлы не особо значимы для пользователя нежели файлы в /home, я б не хотел потерять свои файлы проектов и отчетов.
> Ну, по моему опыту использование репозиториев развращает оченб быстро, народ в принципе
> перестаёт где-то софт искать. По крайней мере убунтоиды (я других новичков
> вокруг себя не видел).Есть еще сторонние репозитарии.
И в отступление как то мне вспоминается случай на LOR с проверкой скрипта.
>>>А руками в линуксе неизвестные бинарники и от обычного пользователя редко кто запускает...
>> А это вы уж загнули, от обычного пользователя как раз запускают. Есть
>> бывшие пользователи windows которые со своими привычками не расстаются даже в
>> linux. Так что для них это не проблема запустить бинарник неизвестного
>> происхождения. И даже опытные linux-пользователи могут лопухнуться (особенно утром в тяжелый
>> понедельник, после воскресенья ;-)).
> Ну, по моему опыту использование репозиториев развращает оченб быстро, народ в принципе
> перестаёт где-то софт искать. По крайней мере убунтоиды (я других новичков
> вокруг себя не видел).запустить бинарник == установить пакет (рпм, деб, ...), вы никогда не искали распоследний vlc под убунту ? у него нет официального репа
> а в чём проблема с прописыванием в ~/.config/autostart в той же Убунте?Проблема, возможно в том, что не у всех Gnome.
Прочитал заголовок "...червь пожирает Linux-системы"По теме ну выпилить этот джава-плагин без сожаления и забыть. Некоторые без флэша нормально обходятся уже, а джава-апплеты и подавно на 1 из 100500 сайтов используются.
Согласен, заглянул в свои плагины (FF под Win) - Java-плагин отключен, причем, видимо, давно, и вспомнил я о нем впервые ;)
> Прочитал заголовок "...червь пожирает Linux-системы"
> По теме ну выпилить этот джава-плагин без сожаления и забыть.Судя по обсуждению на Хабре: http://habrahabr.ru/blogs/virus/107211/
Java-плагин как раз-таки предупреждает о потенциальной опасности загружаемого Java-апплета: "Цифровая подпись не подтверждена доверенным источником. Продолжите запуск только если вы доверяете этому приложению. [Run] и [Cancel]".
Где тут зловред? Всё честно: пользователю даётся исчерпывающая информация, он волен выбирать уровень риска.
> Java-плагин как раз-таки предупреждает о потенциальной опасности загружаемого Java-апплета:Цитирую источник: "Based on this determination, the appropriate version of the Koobface worm is installed _without_ requiring any interaction from the victim."
Насколько помню в убунте фаерфокс в apparmor завернут, интересно рапространяются ли ограничения apparmor на java плагин ?...
Стандартный вопрос: а антивирусы могут ли эту дыру заделывать? Либо смогут ли в дальнейшем после обновлений?
> Стандартный вопрос: а антивирусы могут ли эту дыру заделывать?Нет. Как максимум, антивири могут попробовать поймать на лету эту пакость и заблокировать, но с таким же успехом вы можете пытаться ловить пули голыми руками. Потому что видоизменений возможно море, и сначала появляется зловред, а только потом он начинает ловиться антивирями. И, кстати, если вы регулярно сидите в таких сетях - вирусяка разлетится быстро. Явно быстрее чем антивирусники про нее узнают. Обычно антивирусники узнают о заразе не быстрее чем за сколько-то часов а то и дней. Этого вполне достаточно чтобы поиметь половину социальной сети. Ессно у вас все шансы оказаться среди тех кому не повезло в случае если вы были уязвимы и попали под атаку.
> Либо смогут ли в дальнейшем после обновлений?
Смогут выгрести трояна, как максимум. С малопредсказуемой полнотой и корректностью его удаления. Да и фиг бы там знает что троян уже успел набедокурить. Может он у вас уже все логины, пароли, емылы, номера кредиток и прочая уже давно спер? Как известно, "поздно пить боржоми когда почки отказали". И вообще, эти антивирусники такие забавные:). Вон касперу например сломали сайт. И их американский сайт некоторое время отгружал ... троянов! :D А потом каспер раздал кривые апдейты, порушив народу работу. Чтоб жизнь малиной не казалась, видимо :). В общем я бы не стал рассматривать антиврирусы как панацею.
ИМХО, если вы не хотите чтобы вас имели на каждом втором сайте, то:
1) Снесите все ненужные аддоны и плагины нахрен. Чем меньше барахла - тем меньше того что можно раздолбать. К черту всякие там явы и дотнеты в браузере (и те и другие по жизни решето!). И флеш хорошо бы в идеале выпилить, глядя на http://www.opennet.me/opennews/art.shtml?num=28453 и вообще число дырок в оном за последнее время.
2) В файрфоксе лучше всего поюзать аддон NoScript. И в нем разрешать яваскрипты, флеш и прочие потенциально дырявые сущности *только* для *доверяемых* сайтов, которые вы хорошо знаете. И только там где сие реально надо. Скажем, не секрет что флеш - просто решето, вон выше пруфлинк. Ну вот разрешаем это сито только для ютуба, например. Ну, гугл то не будет троянов отгружать с ютуба все-таки. Для пущей надежности можно разрешить только конкретные файлы - плеер и так далее (для этого уже придется чутка разобраться в анатомии сайта). А вот хаксоры при попытке втихаря показать нам свой флеш-ролик с сплойтом - получат фигЪ. Аналогично и с дырами в яве (если уж от нее нельзя отказаться), яваскрипте (от него отказаться сложно), етц. Хороший такой аддон, в случае если у юзверга есть мозг - такой аддон позволяет вообще не вляпываться в бОльшую часть подобных проблем. При этом даже не важно - в браузере дыра или в сторонних компонентах, как правило затыкается и то и другое :).И, черт возьми, это одинаково хорошо работает в виндах, макоси и линухе и где там еще. Как это и должно быть.
>> Стандартный вопрос: а антивирусы могут ли эту дыру заделывать?
> Нет. Как максимум, антивири могут попробовать поймать на лету эту пакость и
> заблокировать, но с таким же успехом вы можете пытаться ловить пули
> голыми руками. Потому что видоизменений возможно море,Каким образом апплет может видоизменить свой собственный код без наличия javac?
> В общем я бы не стал рассматривать антиврирусы как панацею.
Я в последние восемь лет после известного августовского трояна 20023 года антивирусы ВООБЩЕ не рассматриваю как какую-то защиту системы. Так — что-то крутится в трее, издаёт какие-то звуки время от времени и жёстко тормозит систему, а на деле оказывается, что юзеры тупо жмут "ОК" на любое предупреждение: "записать чевой-то в реестр для продолжения работы?" — "ДА!", "записать мелочь пузатую в автозагрузку, ведь просит же?" — "ДА!". А всё затроянено по самые уши, антивурус выдал добро!
На рабочей Windows антивирусов нет, периодически проверяю систему сканерами антивирусов и мониторами памяти — вроде ничего не подцепил за 7 лет работы в Windows. Коллеги по работе умудрялись ловить троянов разных серий при включенном и регулярно обновляемом Касперском. Один даже получил приглашение выслать столько-то рудлей по SMS для разблокировки системы. :)))
> систему, а на деле оказывается, что юзеры тупо жмут "ОК" на
> любое предупреждение: "записать чевой-то в реестр для продолжения работы?" — "ДА!",
> "записать мелочь пузатую в автозагрузку, ведь просит же?" — "ДА!".
> А всё затроянено по самые уши, антивурус выдал добро!Это потому что надо корпоративные антивирусы использовать
Они ничего у юзера не спрашивают
Как админ на сервере настроил - так и работаютА персональные антивирусы - это такая фигня
Они рассчитаны что у юзер хоть немного соображает что делает ...
>> систему, а на деле оказывается, что юзеры тупо жмут "ОК" на
>> любое предупреждение: "записать чевой-то в реестр для продолжения работы?" — "ДА!",
>> "записать мелочь пузатую в автозагрузку, ведь просит же?" — "ДА!".
>> А всё затроянено по самые уши, антивурус выдал добро!
> Это потому что надо корпоративные антивирусы использовать
> Они ничего у юзера не спрашивают
> Как админ на сервере настроил - так и работаютВот только служебные программы не работают в правильно настроенной корпоративной среде, если не дать конечным пользователям админские прова на их запуск. А если всё управление антивирусом сосредоточить у сисадмина, а пользователям не давать право разрешать запуск, то работа встанет.
> Вот только служебные программы не работают в правильно настроенной корпоративной среде,
> если не дать конечным пользователям админские прова на их запуск. А
> если всё управление антивирусом сосредоточить у сисадмина, а пользователям не давать
> право разрешать запуск, то работа встанет.Ну если по делать все по уму
тогда перед внедрением этих служебных программ должно проводиться тестирование
которые и выявит проблему до ее массового появления
а дальше - либо исправляем программу, либо правила антивирусаПрограммы же которые требуют админских прав - это вообще БАРДАК
Java. Безопасные технологии -> кроссплатформенные трояны.
> Java. Безопасные технологии -> кроссплатформенные трояны.Кроссплатформенные трояны пишутся в основном на JavaScript, так как его код легко поддаётся модификации на-ле-ту.
Мило...
Хорошо потрудились, не мало пива было выпито пока сей червь сделали. И про Linux не забыли, ведь под него другую реализацию надо. Странно, что автозапуск не сделали, может быть linux-реализация вируса пока неполноценная?И не нужно говорить, что новость плохая, про Linux знают, его используют и эта новость тому подтверждение...
Кто заботится о безопасности, будут ее усиливать, благо возможностей для этого "выше крыши".
P.S.
Советую всем поставить какой-нибудь NoScript, не отключать его на всяких непонятных сайтах "стилизованных под YouTube", и ни под каким предлогом не выполнять апплеты, если точно не знаешь откуда он и зачем.
Похоже, что как раз под линукс оно не делалось - просто оказалось, что на сей раз кроссплатформенности джавы (и джавовской дыры) вполне хватило. Если б делали специально - уж в автозапуск в пользовательской сессии прописались бы. Два-три основных DE - невелика сложность.
стравнно что никто не вспомнил ~/xinitrc :-)
который не чем не хуже ~/.config/Autostart или ~/Desktop/AutoStart :)
Возможно, но маловероятно. На скриншоте http://blogs.paretologic.com/malwarediaries/wp-content/uploa... путь ~/.jnana. О том, чтобы путь был таким должен был подумать разработчик, а следовательно подумать о unix-подобных ОС... Хотя я могу ошибаться, если у java есть мулька вроде: создать папку с таким-то названием и сделать ее скрытой согласно операционной системе; или точка в начале названия каталога - случайность.
Хочу себе этого червяка. В соц. сетях меня, правда, нет. Может у кого есть та самая вредоносная ссылка на ролик?
Главное запустить совою бяку в OS )) А потом использовать локальную уязвимость системы, а дальше насколько фантазии хватит.
У линухоидов локальные уязвимости систем, да и такие бяки - довольно оперативно патчатся системным апдейтером. Доходит до того что я сперва получаю апдейт libc а только потом в новости узнаю что там оказывается была дырка. Это микрософт раздупляется месяц с патчами, дожидаясь пока всем достанется, а на проблемы третьесторонних апликух мс вообще класть хотел так что всякие явы, флеши и прочий крап - обновляются или левыми самопальными апдейтерами в меру своей дурости или вообще никак.
> У линухоидов локальные уязвимости систем, да и такие бяки - довольно оперативно
> патчатся системным апдейтером. Доходит до того что я сперва получаю апдейт
> libc а только потом в новости узнаю что там оказывается была
> дырка.Которая существовала годами :) А сам факт что вы узнали только сейчас - роли не играет.
MS Kb - тоже часто выходят с обновленями - но дыры то старые..
Так и в linux - не чем не лучше.
Простите, вот тут новость была - обнаружен сплойт долбящий FF. Мозилла в пределах СУТОК выкатила патч. Микрософт же обычно телится месяц. А через месяц смысла то припарки раздавать? Да еще их кульный браузер для обновления требует ребут всей системы. Что конечно же очень нравится пользователям. Они так и спешат лишний раз перезагрузиться, ага.
Господа, где можно скачать вирус для Linux? Хочу посмотреть. Спасибо !
а вот интересно: оно на системах с noexec в /home работает ?
ну после того как поставить яву, выпилить noscript и собственоручно дать ему добро, я имею ввиду.
> а вот интересно: оно на системах с noexec в /home работает ?
> ну после того как поставить яву, выпилить noscript и собственоручно дать ему
> добро, я имею ввиду.И какой-нибудь /tmp. Нет, так же как и в случае с вендой, в которой запуск экзешников возможен только из ProgramFiles и %WINDIR% с запретом туда писать обычному пользователю(что не избавляет от макровирусов).
>> а вот интересно: оно на системах с noexec в /home работает ?
>> ну после того как поставить яву, выпилить noscript и собственоручно дать ему
>> добро, я имею ввиду.
> И какой-нибудь /tmp. Нет, так же как и в случае с вендой,
> в которой запуск экзешников возможен только из ProgramFiles и %WINDIR% с
> запретом туда писать обычному пользователю(что не избавляет от макровирусов).зачем же :) ~/xinitrc :) а дальше уже что угодно.
ну вот опять, я же говорю - ну почему все новости про Яву такие гнусные?!
> ссылку, такие как "не ты ли это на данном видеоролике ?"Неужели ещё не вымерли идиоты, ходящие по таким ссылкам?
ты не ходишь по ссылкам присланным друзьями или у тебя нет друзей ?
"не ты ли это на данном видеоролике ?" - это же стандартная разводка (также как "читалка чужих СМС", например), разумеется я не пойду по такой ссылке кто бы мне её ни прислал.
Абсолютно не страшная новость, IMHO. Не даром браузер любит переспрашивать можнл ли установить апплет. а затем можно ли его запустить. Если пользователь достаточно неосторожен, чтобы ставить апплеты с каких-то совсем левых адресов в адресной строке, то проблема в пользователе, а не в ОС, IMHO
> Абсолютно не страшная новость, IMHO. Не даром браузер любит переспрашивать можнл ли
> установить апплет. а затем можно ли его запустить. Если пользователь достаточно
> неосторожен, чтобы ставить апплеты с каких-то совсем левых адресов в адресной
> строке, то проблема в пользователе, а не в ОС, IMHOБольшинство пользователей, т е стандартный пользователь, достаточно неосторожны, поэтому проблема в ПО.
>> Абсолютно не страшная новость, IMHO. Не даром браузер любит переспрашивать можнл ли
>> установить апплет. а затем можно ли его запустить. Если пользователь достаточно
>> неосторожен, чтобы ставить апплеты с каких-то совсем левых адресов в адресной
>> строке, то проблема в пользователе, а не в ОС, IMHO
> Большинство пользователей, т е стандартный пользователь, достаточно неосторожны, поэтому
> проблема в ПО.От действий пользователя никакое ПО не спасёт, если оно тупо не запрещает пользователю делать всё кроме определённого списка действий (whitelisting). Например, можно так же сказать, что openssh уязвим, т.к. позволяет логиниться, при паролях вроде "test".
> От действий пользователя никакое ПО не спасёт,от дырявого ПО никакая разумность пользователя выходящего в интернет не спасет.
ПО должно спасать от как можно больших проблем мешая пользователю как можно меньше.> Например, можно так же сказать, что openssh уязвим,... при паролях вроде "test".
Нельзя, openssh работает по своей спецификации, а дыра в браузере работает не по спецификации, позволяя коду вылезти из песочности.
ыы.., коменты ржунимагу, стоит у меня UbuntuServer 10.04, на нём нет у меня GUI, вопрос к школьникам: как мне заразится тем червём то? Дырявый линукс??, нет скорее дырявый мозГ.
> ыы.., коменты ржунимагу, стоит у меня UbuntuServer 10.04, на нём нет у
> меня GUI, вопрос к школьникам: как мне заразится тем червём то?
> Дырявый линукс??, нет скорее дырявый мозГ.у тебя свои собственные определения понятия червь, отсюда и свое понимание неуязвимости, отличное от общепринятого.
Приятно чувствовать себя защищеным!