Возможно ли?

[SDA]

Все пишут о дырах в Лисе, но реального заражения через него я не видел, по крайней мере на virusinfo. Была где-то на форуме дискуссия на эту тему, но кроме примеров, как можно подцепить заразу, реального примера заражения никто не привел. То же самое касается Оперы. Может быть кто-то поделится?

[rav]

Мошукай последний MPack (правда, у меня нет).

[Alex Plutoff]

Все пишут о дырах в Лисе, но реального заражения через него я не видел, по крайней мере на virusinfo. Была где-то на форуме дискуссия на эту тему, но кроме примеров, как можно подцепить заразу, реального примера заражения никто не привел. То же самое касается Оперы. Может быть кто-то поделится?

-имел место случай, буквально вчера наблюдал... KAV, во время первого полного сканирования ОС, выудил Trojan-Downloader.Win32.Zlob.ejr причем, что характерно, обнаружен он был сразу в двух объектах
C:\Documents and Settings\User\Local Settings\Application Data\Mozilla\Firefox\Profiles\68023l5n.default\Cac he\DA7971D3d01//data007
и в
C:\Documents and Settings\User\Local Settings\Temp\rla3cn25.exe
...очень похоже на то, что зверь проник(был загружен) на машину именно через Firefox, и заметьте, с НЕразрешенными скриптами (по утверждению владельца ПК, в настройках так было всегда), материализован в Local Settings\Temp и тут же запущен, но, судя по всему, выполнить свое прямое назначение, загрузить что-то еще не смог, т.к. ESET Smart Security не пропустил несанкционированную сетевую активность

[XP user]

C:\Documents and Settings\User\Local Settings\Temp\rla3cn25.exe
...очень похоже на то, что зверь проник(был загружен) на машину именно через Firefox, и заметьте, с НЕразрешенными скриптами (по утверждению владельца ПК, в настройках так было всегда)

Отключение скриптов лишь часть того, что надо делать. Чаще всего атакуются plug-in'ы (Acrobat Reader, плееры всякие), а они всегда наготове, и даже запускаются когда скрипты отключены. Можно сказать, что пользователю тогда повезло, что NOD заметил заражение. Ещё есть всякие уязвимости с памятью Firefox, поэтому и советю отключить 'Историю' (то есть - поставить её на '0' дней, и если есть хороший комп + хорошую сеть, то тогда ещё и кэш. Firefox (и, кстати, любой другой браузер) не должен запоминать НИЧЕГО! Здесь описанно как настроить Firefox для максимальной безопасности. Paul

[Alex Plutoff]

-ну, тогда уж, с точки зрения максимальной безопасности, лучше сразу пользовать браузер Lynx, ни те скриптов, ни те плагинов, и фреймов никакаких, и даже таблицы не поддерживаются... но с другой стороны, стоит ли в Инет ходить при такой паранойе?

[XP user]

-ну, тогда уж, с точки зрения максимальной безопасности, лучше сразу пользовать браузер Lynx, ни те скриптов, ни те плагинов, и фреймов никакаких, и даже таблицы не поддерживаются...

С текстовым браузером Lynx вы ощибаетесь - у него немало уязвимостей.

но с другой стороны, стоит ли в Инет ходить при такой паранойе?

С каких пор знание механизмов заражения равняется параноей? У меня 'защиты' нет никакой (только тестирую продукты защиты), но я не страдаю от многочисленных алертов, и готов отдать свой комп любому эксперту на исследование. А вы?

Paul

[Alex Plutoff]

С текстовым браузером Lynx вы ощибаетесь - у него немало уязвимостей.

-я упомянул Lynx вовсе не потому, что он неуязвим для разного рода атак, тем более что это далеко не так, а по тому, что отказываясь полностью от скриптов и плагинов в браузере, мы значительно снижаем качество интернет серфинга, практически до уровня заурядного текстового браузера, ИМХО, разумеется...

С каких пор знание механизмов заражения равняется параноей? У меня 'защиты' нет никакой (только тестирую продукты защиты), но я не страдаю от многочисленных алертов, и готов отдать свой комп любому эксперту на исследование. А вы?

Paul

-знание механизмов это замечательно ...а вот уровень безопасности должен быть оптимальным, а не максимальным, это разумеется при условии, что серфинг не особо экстремальный...

[XP user]

-я упомянул Lynx вовсе не потому, что он неуязвим для разного рода атак, тем более что это далеко не так, а по тому, что отказываясь полностью от скриптов и плагинов в браузере, мы значительно снижаем качество интернет серфинга, практически до уровня заурядного текстового браузера, ИМХО, разумеется...

-знание механизмов это замечательно ...а вот уровень безопасности должен быть оптимальным, а не максимальным, это разумеется при условии, что серфинг не особо экстремальный...

Если вы знали бы, что я творил в реестре в разделе HKEY_CLASSES_ROOT... Мой браузер не может запускать ничего кроме самого себя, и другие программы таким же образом ограничены...
То, что у меня политика по умолчанию 'нет скриптов', 'не показать картинки', и т.д. ещё не значит, что я не смотрел тему фотографии с большим удовольствием. Подход просто другой. Зачем мне ява (я не про ява-скрипт!) и флэш плеер, когда с ними можно определить ВНУТРЕННИЙ IP-адрес? Я их, конечно же, удалил. И знаете, в отличия от того, что говорят - всё работает как надо.
Всё что не обязательно нужно - отключил. Это не паранойя, а здравый смысл. Там, где всё разрешено всегда, и 'защита' пытается ловить зловреды уже ПОСЛЕ события, будут проблемы - всегда. Зато, там, где всё запрещено, но включается по необходимости и по выбору пользователя, таких проблем меньше, или вообще отсутствуют. Очень позновательны в этом смысле - две статьи:
The Six Dumbest Ideas in Computer Security и Execution Control: Death to Antivirus.

P.S.1: Должен признаться, что у меня серфинг (в связи с моей работой - изучение новых методов заражения, фишинг, и пр.) бывает экстремальным.

P.S.2: То, что вы увидите алерт от вашей 'защиты' и вы щёлкайте 'блокировать' ещё не значит, что 'защита' зловред действительно остановила...

Paul

[rav]

Я перекидывался письмами с этим самым Ranum. Когда он мне сказал, что мне не стоит заниматься безопасностью- улетел в бан.

[XP user]

Я перекидывался письмами с этим самым Ranum. Когда он мне сказал, что мне не стоит заниматься безопасностью- улетел в бан.

'Errare humanum est'. О нём, как о человеке, не хотелось бы высказаться, но приведённые статьи заставляли меня лично задуматься...

Paul

[rav]

А чего тут думать, если всё уже написано? http://offline.computerra.ru/2007/705/337064/. Надо бы её в "Наши статьи" забросить, да как-то всё некогда да некогда...

[XP user]

А чего тут думать, если всё уже написано?

Статья же была написана:

Morrisdale, PA Sept 1, 2005

Я как раз тогда и начал задуматься...

http://offline.computerra.ru/2007/705/337064/.

С удовольствием и ваши статьи читаю. Спасибо за ссылку!

Paul

[rav]

1 сентября 2005 я уже забрасывал первое сообщение о бета-тестировании DefenseWall HIPS на WildersSecurity. Соответственно, задумываться начал гораздо раньше. Кстати, всё-таки дошли руки заброситься в "Наши статьи".

[Alex Plutoff]

Если вы знали бы, что я творил в реестре в разделе HKEY_CLASSES_ROOT... Мой браузер не может запускать ничего кроме самого себя, и другие программы таким же образом ограничены...
Paul

-учитывая род Вашей деятельности, такой уровень безопасности, наверное, оправдан...

...всё запрещено, но включается по необходимости и по выбору пользователя...
Paul

-а вот тут можно и возразить... врядли такой подход сгодится рядовому пользователю, не имеющему ни соответствующей подготовки, ни, тем более, Вашего опыта в оценке, посещаемых им в процессе вольного серфинга интернет ресурсов, на предмет их вредоносности... но и перспектива все время пользовать браузер, столь грубо выхолощенный(т.е. с отключенными плагинами и запрещенными скриптами), тоже, его не сильно прельщает... -по симу, рядовому среднестатистическому пользователю предлагаю компромиссный вариант: использовать альтернативный(т.е. НЕ Internet Explorer) браузер с оптимальными настройками безопасности, а вот его Учетную запись пользователя максимально ограничить в правах и привилегиях тем самым обеспечить предельно возможную безопасность всей Системы, причем, не только в в процессе вольного серфинга по Инету... Paul, Вы согласны с таким вариантом решения проблемы безопасного пребывания в Инете?..

[XP user]

Paul, Вы согласны с таким вариантом решения проблемы безопасного пребывания в Инете?..

Пожалуй, да, если пользователь знает, что делает и не поддаётся social engineering'у.

Paul