Все новости от 2 декабря 2003 г. Успеху атаки способствовала ошибка в ядре Linux
В понедельник команда Debian Project сообщила, что злоумышленникам удалось взломать четыре сервера проекта разработки ПО с открытым исходным кодом из-за ошибки в ядре Linux.
Воспользовавшись ошибкой, 19 ноября атакующий, уже имевший доступ к серверу, смог снять ограничения, защищавшие систему от рядовых пользователей, и совершить несколько проникновений.
Разработчики обнаружили ошибку в сентябре и исправили ее в последней версии ядра Linux 2.4.23, но исправленная версия вышла несколько позднее — в пятницу, через восемь дней после атаки на Debian.
Debian Project, который в своей работе использует только истинное ПО open-source, утверждает, что проникновения не повлияли на базу кода проекта.
«К счастью, мы требуем от разработчиков подписывать присылаемое ими ПО цифровой подписью, — говорит член проекта, программист Мартин Шульц. — Эти файлы сохраняются также вне сайта и используются в качестве базы сравнения для перепроверки».
Команда проекта пообещала заблокировать все учетные записи разработчиков до выявления и исправления ошибки. В понедельник были опубликованы соответствующие поправки, но, когда будут разблокированы учетные записи, не сообщается.
Неизвестный злоумышленник взломал по крайней мере четыре сервера Debian Project. Эти серверы — называемые Master, Murphy, Gluck и Klecker — обслуживали систему регистрации ошибок, базу данных исходного кода, почтовые списки, веб-сайт и секьюрити-патчи проекта open-source.
Как говорится в опубликованных в понедельник результатах анализа, злоумышленник получил доступ к одной из систем, взломав компьютер разработчика и установив на него программу для регистрации клавишного ввода. Когда программист вошел в систему Klecker, злоумышленник перехватил его пароль.
Воспользовавшись сентябрьской ошибкой, атакующий получил права доступа к Klecker уровня owner, то есть, как говорят, «овладел» системой. Ошибка — она находится в той части ядра, которая управляет памятью, — позволяет пользователям, у которых уже есть доступ к системе, повысить свои привилегии. Такие ошибки менее опасны, чем те, что обеспечивают доступ к серверу для внешнего атакующего, поэтому они исправляются не так срочно.
Это не первая атака на ПО open-source. В ноябре злоумышленник пытался исказить ядро Linux, внедрив в него аналогичный дефект. А год назад злоумышленники поместили хакерское ПО в популярный инструмент open-source Tcpdump. Несколько известных атак было предпринято и против других проектов open-source.
Последний баг исправлен в версии ядра 2.4.23 и в ядре Linux нового поколения, начиная с версии 2.6.0-test6, которая вышла в конце сентября.
Несмотря на двухмесячную задержку в выпуске патча, Иэн Мердок, основатель Debian и председатель правления Linux-компании Progeny, хвалит команду разработчиков проекта.
«В конечном счете ребята замечательно справились с ситуацией: они не скрывали то, что произошло, и очень быстро с этим разобрались», — сказал он. Мердок входит в команду Debian как разработчик, но больше не выполняет повседневных обязанностей администратора.
Предыдущие публикации:
В продолжение темы:
|
|
| Коляныч 2 Dec 2003 11:56 AM |
>Неизвестный злоумышленник взломал по крайней мере четыре сервера Debian Project. Эти серверы — называемые ... Gluck < очень самокритичное название:)) что-то то ли зднет к опенсорсу охладела, то ли действительно мсное трастворти компутинг приносит результат, но вы заметили, что сообщений об ошибках в опенсорсе стало больше, в мсных прогах - меньше? >Это не первая атака на ПО open-source. В ноябре злоумышленник пытался исказить ядро Linux, внедрив в него аналогичный дефект. А год назад злоумышленники поместили хакерское ПО в популярный инструмент open-source Tcpdump.< т.е. сколько атак - столько и успешных взломов? мифы об устойчивом как неваляшка пингвине тают на глазах... |
|
| Qrot 2 Dec 2003 12:08 PM |
а почему такой большой интервал между обнаружением ошибки и патчем? |
|
| Коляныч 2 Dec 2003 12:28 PM |
да потому, что девелопить гораздо интересней, чем патчить. потому и интервал, мс тоже этим страдало, а это не стадо прогов - представителей "сообщества опенсорса", а хорошо организованная корпарация. потом билли сказа - писец, сначала фиксим - потом фичи добавляем. поэтому я больше в надежность винды верю. а линуксоидам кто такое прикажет - они же типа "свободные"?
|
|
| V 2 Dec 2003 12:30 PM |
2 Коляныч : > мифы об устойчивом как неваляшка пингвине тают на глазах... Если кто то говорит, что Linux более устойчив, то это проблемы того кто это говорит. У Linux просто меньше "менеджеризма", поэтому он лучше Win, Sol, Rel ... Код пишут программисты, им "свойственно ошибаться", количество ошибок на количество строк почти одинаково и не зависит от фирмы изготовителя ;)
|
|
| Qrot 2 Dec 2003 12:55 PM |
Коляныч: ой да ладно.. пока файрволом не закроешь, даже в локалку дома выходить опасно. хотя в надежность винды я тоже верю больше, чем в надежность линуха.. а кто то верит наоборот :) |
|
| V 2 Dec 2003 1:09 PM |
2 Qrot : > пока файрволом не закроешь А вы уверены что firewall вас защитит ? ;) |
|
| Qrot 2 Dec 2003 1:52 PM |
V: да |
|
| Шел мимо... 2 Dec 2003 2:13 PM |
2Коляныч >илли сказа - писец, сначала фиксим - потом фичи добавляем Вновь обнаруженные пробелы в защите Microsoft Internet Explorer позволяют атакующим вторгаться в ПК пользователей, однако поправки для устранения этих ошибок пока нет
|
|
| виндузятник 2 Dec 2003 3:21 PM |
Шел мимо - иди дальше, тут реальный взлом, там - сообщение о возможных проблемах, которое еще не подтвержденное |
|
| dimav 2 Dec 2003 4:06 PM |
"Шел мимо - иди дальше, тут реальный взлом, там - сообщение о возможных проблемах, которое еще не подтвержденное " Если не считать опять открытых портов и левых соединений из корпоративной сети то проблем нет. Можете спать спокойно. Cудя по логам источник один из нотебуков включенных на выходных в неродную сеть. (все извсестные fix-ы стоят, идивидуальный файроволл тоже, машина закриптована по самое нехочу). Корпоративный файрволл естественно отдельный и не win. "Изнутри" пользователи ходят через злобный proxy который и защищал от таких атак... PPS. IMHO в RPC осталось пара непофиксеных дар. IMHO.
|
|
| dimav 2 Dec 2003 4:07 PM |
"2 декабря, 2003, 12:55 - Qrot Коляныч: ой да ладно.. пока файрволом не закроешь, даже в локалку дома выходить опасно." Не даже а как бы это сказать.... домовые локалки и есть самые опасные на сегодншний день места. судя по тому откуда обычно народ ломится самое милое дели поломать сидящую на кабеле homeXP и пойти дальше.
|
|
| V 2 Dec 2003 4:46 PM |
2 Qrot : Ну а если я ( теоретически ;), выполняю в вашем IE произвольный код через переполнение HTML и этот код, посылает по email ваши файлы ;) Или скажем в IIS через то же переполнение будет выполнен код, который откроет в доступ всю файловую систему вашего корпоративного web-сервера, и каждый сможет взять любые данные по HTTP. От такого ваш firewall спасает ? ;) |
|
| Шел мимо... 2 Dec 2003 4:56 PM |
2виндузятник Посылать, даже имея такой громкий ник, некрасиво... Для Альта эта уязвимость закрыта с 23 сентября: http://www.altlinux.ru/pipermail/security-announce/2003-Dece mber/000202.html Да и если есть желание не сидеть на ядрах серии 2.2, то добавить 4 строчки к исходникам ядра не проблема, а как забодать "виртуальную" дыру в так глубоко привязанном к системе IE? |
|
| Qrot 2 Dec 2003 5:00 PM |
dimav: ну да наверное. по крайней мере по результативности, локалка впереди :) насчет хр хоум - ну так и фрибсд ломали :) забыл самбу выключить, качая для нее же секурити апдейты, сломали практически тут же. сказать что я бы в шоке тогда - значит ничего не скзать :) |
|
| Qrot 2 Dec 2003 5:00 PM |
V: вы расслабтесь. у меня нет IE. |
|
| Qrot 2 Dec 2003 5:02 PM |
V: от *известной* атаки по IIS - спасет. читайте про IDS. |
|
| V 2 Dec 2003 5:12 PM |
2 Qrot : > от *известной* атаки по IIS - спасет. читайте про IDS. Читать здесь ? http://www.ciac.org/ciac/bulletins/l-139.shtml Известными атаки становятся уже после того, как ущерб нанесен. Microsoft, Cisco не сможет предположить, где очередная дыра. Как в пословице "про солому" ;) |
|
| Qrot 2 Dec 2003 5:16 PM |
V: поясню. а то скучно :) IE разумеется есть, но не пользуюсь. Mozilla рулит, фарева, и все такое. IIS FTP - я уже не помню, когда там была найдена ошибка :) но даже если и вылезете выше рутового катлога - грамотные пермишены опять же рулят, фарева и все такое :) кроме того, особо одаренных товарищей, владеющих функцией поиска эксплоитов и аттак в сети хорошо фильтрует BalckICE.. но встроенного файрвола пока достаточно. наконец, ценность моих данных.. у меня нет на компе ценных данных :) |
|
| Qrot 2 Dec 2003 5:24 PM |
V: под IDS я имел ввиду прежде всего BlackICE, для десктопа вполне достаточно. |
|
| Alexander S. 2 Dec 2003 5:26 PM |
2 dimav, "Если не считать опять открытых портов и левых соединений из корпоративной сети то проблем нет. Можете спать спокойно." Открытые порты закрывает встроенный в OS firewall. Если вы ставите в сеть (любую) систему (любую) без включенного firewall, то жалуйтесь потом на себя. И в Линуксе есть firewall, и в Win XP. Разруха- она не в операционной системе, разруха- она в головах. Левые соединения из корпоративной сети- так сначала определитесь, от кого и куда. А то включил человек синхронизацию времени с Интернет-сервером, а потом визжит что его компьютер соединяется в Интернет время синхронизировать. Или установил RealPlayer в умолчательной конфигурации, а потом возмущается что злобный Микрософт (хотя на самом деле- RealPlayer) лазит в Интернет по-чёрному. Или, что ещё лучше, включил Automatic Updates и возмущён, что для получения новых обновлений сервис сообщает серверу в Интернете какие обновления уже установлены- шпионит, гад! Забавники... |
|
| V 2 Dec 2003 5:28 PM |
2 Qrot : > имел ввиду прежде всего BlackICE Ну тогда можно почитать это : http://security.itworld.com/4362/020211blackice/page_1.html |
|
| Qrot 2 Dec 2003 5:29 PM |
> Известными атаки становятся уже после того, как ущерб нанесен. V, Вы гений! это исключительно ценная мысль :) дело в том что на каждый болт найдется своя гайка, так что все сводится лишь к стоимости решений по защите и стоимостью ваших данных. стоимость моих данных - 0, стоимость решения по защите - 0, вероятнось взлома - я бы оценил, интуитивно, как менее 1%. имхо, достаточно для того, что бы спать спокойно :) |
|
| V 2 Dec 2003 5:33 PM |
2 Qrot : > бы оценил, интуитивно, как менее 1%. имхо, достаточно для того, что бы спать спокойно :) Похоже на пословицу "меньше знаешь ..." ;) |
|
| Qrot 2 Dec 2003 5:34 PM |
на http://security.itworld.com/4362/020211blackice/page_1.html см ниже. что один построил другой завсегда сломает. вопрос только в цене. а вы конечно же уже нашли серебряную пулю, позволяющую избавится от всех проблем? :) |
|
| V 2 Dec 2003 5:36 PM |
2 Qrot : Говорят также, что самый безопасный способ использования компьютера это не включать питание ;) 100% гарантия на отсутствие повреждений информации посторонними ;) |
|
| V 2 Dec 2003 5:37 PM |
2 Qrot : > вы конечно же уже нашли серебряную пулю, позволяющую избавится от всех проблем? :) Все может быть ;) |
|
| Qrot 2 Dec 2003 5:38 PM |
V: > Похоже на пословицу "меньше знаешь ..." ;) ну оцените сами - комп в районной локалке, выхода в инет нет. контингент локалки - простые смертные, есть 3-4 кулкакера, но больше чем на чтение угарного журнала ксакеп они не способны.. опять же стоимость данных - да и то все на фтп :) |
|
| V 2 Dec 2003 5:40 PM |
2 Qrot : > опять же стоимость данных - да и то все на фтп Везет вам ;) |
|
| V 2 Dec 2003 5:40 PM |
2 Qrot : А зарплата сколько ? |
|
| Qrot 2 Dec 2003 5:40 PM |
V: > Все может быть ;) о, великий. ну делитесь уже, сколько можно томить то. |
|
| Qrot 2 Dec 2003 5:42 PM |
> А зарплата сколько ? ПНХ. эй, на бронепоезде - речь про мой домашний десктоп :) |
|
| Qrot 2 Dec 2003 5:48 PM |
бронепоезд застрял в пути, что ли ? у меня уже рабочий день кончается... |
|
| V 2 Dec 2003 5:53 PM |
2 Qrot : > ПНХ. эй, на бронепоезде - речь про мой домашний десктоп Моя ошибка. Я подумал другое. > бронепоезд застрял в пути, что ли ? у меня уже рабочий день кончается... Да тут отвлекают, работой ;) Говорят работать нужно ;) Хотя вроде кому нужно, пусть тот и работает ;) Шутка
|
|
| Qrot 2 Dec 2003 5:59 PM |
V: > Я подумал другое на другое админ есть. я не админ :) могу предложить поставить VPN, но боюсь, что вы найдете еще кучу ссылок... и будете в чем то правы. можно взять малоизвестную VPN :) я смотрю, у нас тут типа чата образовалось :) *ушел* |
|
| dimav 2 Dec 2003 6:43 PM |
"2 декабря, 2003, 17:26 - Alexander S. 2 dimav, "Если не считать опять открытых портов и левых соединений из корпоративной сети то проблем нет. Можете спать спокойно." Открытые порты закрывает встроенный в OS firewall. Если вы ставите в сеть (любую) систему (любую) без включенного firewall, то жалуйтесь потом на себя. И в Линуксе есть firewall, и в Win XP. Разруха- она не в операционной системе, разруха- она в головах. Левые соединения из корпоративной сети- так сначала определитесь, от кого и куда. А то включил человек синхронизацию времени с Интернет-сервером, а потом визжит что его компьютер соединяется в Интернет время синхронизировать. " Ну вот. Поленился написать побольше и возникло непонимание. Был обнаружен траффик (в том числе и nntp только измеряемый сотнями K) и открыте порты на нескольких машинах в сети. проловлено было отлаживаемым анализатором траффика кстати :). обнаружилось несколько вариаций на известную тему для удаленного руления 2000. взялись разбираться судя по всему (судя по тому что лежит в логе свитча) кто=то принес троянца на нотебуке (с включенным файрволлом, запрещенными входящими коннекциями, шифрованием всего и вся и обновленным антивирусом) после посещения конференции (где была тоже вся такая защищенная типа сеть). Дальше он втихую активизировался и сел в сервер (под аккаунтом этого человека) ну а потом начал расползаться. (обращаю внимание что в отличии от debian на 2000, ie и oe были наложены все рекомендованные патчи) ситуация один-один с debian. IMHO вариантов было два - незакрытый баг в ie/oe/word/2000/netmmeting (больше ничего на машине не запускалось) либо rpc-дыра, по крайне мере ее порты открывались на всех зараженных машинах. Возможно это netmeting но как задать правила открывающую его порты только при заходе в "родную" сеть ? PS. меня это затронуло поскольку=постольку сосед был тем кто забил тревогу глядя в лог. я в конторе не разу не админ. это у меня хобби удаленное в свободное время в других местах :) PPS. подобных инцедентов в месяц - два-три. :( PPPS. "Если вы ставите в сеть (любую) систему (любую) без включенного firewall, то жалуйтесь потом на себя. " ну вобще-то это спорное утверждение. по идее в надежной OS с надежным прикладным ПО firewall полезен для отсекание внешнего паразитного траффика... С другой стороны от дыры в разрешенном сервисе (http,rpc,ipc) он не спасет и если дальше OS ненадежна (сервисы не ограничены в правах и/или защита имеет дыры) то имеем то что имеем. слишком часто файрвалл дает ложное чуство безопастности. :( |
|
| Alexander S. 2 Dec 2003 8:23 PM |
2 dimav, Я, конечно, понимаю кто Сакс и Мастдай, и что существуют невыявленные дыры- тоже знаю. И предположить, что злобные хакеры написали трояна чтобы поиметь именно вашу контору- тоже могу. Почему именно вашу- потому что если бы всех- то было бы известно, как с MSBlast. Не только в вашей сети анализатор траффика установлен. Так что со всем этим согласиться могу- но два-три подобных инцидента в месяц??? Или вашу контору за что-то не любят, или ваш администратор не любит свою работу. >>Если вы ставите в сеть (любую) систему (любую) без включенного firewall, то жалуйтесь потом на себя. " ну вобще-то это спорное утверждение. Это бесспорное утверждение. Как, скажем, рекомендация не вступать в случайные связи без презерватива. Разумеется, профессионал заметит, что надежность презерватива не 100%, а с учетом среднего качества товара и среднего опыта пользователя- куда меньше 100%. Однако рекомендация всё равно остаётся бесспорной. Так же и firewall. Гарантию даёт только страховой полис, но если вы настраиваете Win XP или Linux своим друзьям и поленились включить встроенный firewall- значит, вы не слишком хорошо относитесь к своим друзьям. Или наоборот- хотите их чаще видеть.:) |
|
| Cheetah 2 Dec 2003 8:47 PM |
2 Alexander S: маздай, а не Мастдай. Пора уж разбираться в местной ламеровской фене. Даже я за три месяца наблюдения за сией досточтимой тусовкой уяснил разницу :-))) |
|
| Black Bat 2 Dec 2003 9:27 PM |
ахаа, фоот оно каак, в Линуксе есть дыры оказывается |
|
| Cheetah 2 Dec 2003 10:10 PM |
упс... сорри, в программерской фене :-))) |
|
| Alexander S. 2 Dec 2003 10:48 PM |
2 Cheetah, Людям свойственно ошибаться.:) Хорошим людям свойственно прощать ошибки других. Но я нехороший человек.:>> Вот вам ответ Рамблера на ваше замечание: Вы искали: мастдай, найдено сайтов: 3639, документов: 14014 Вы искали: маздай, найдено сайтов: 2458, документов: 9940 Потому как у нас благодать и демократия, то подавляющим большинством голосов мой Мастдай побеждает ваш маздай. |
|
| Murr 2 Dec 2003 11:08 PM |
>т.е. сколько атак - столько и успешных взломов? мифы об устойчивом как неваляшка пингвине тают на глазах... Коляныч опять пернул в лужу. То, что код, добавленный в BitKeeper не вышел дальше него, тебе, конечно, неизвестно. Примерно та же ситуация с tcpdump. |
|
| Murr 2 Dec 2003 11:14 PM |
Хотя переполнение в do_brk - штука неприятная. Тем не менее, непосредственно не дает возможность для эскалации прав, хотя и позволяет "уронить" писюк в два счета. Так что где порылась собака в Debian - еще вопрос. |
|
| Anti-MS 3 Dec 2003 2:47 AM |
Кстати по данным netcraft, винда с iisом уже держит всего 20% - опустилась до уровня лета 2001 года, не помог никакой "сервер 2003", дотнет, веб-сервисы и прочая ахинея. А апач растет ;) |
|
| Masonok 3 Dec 2003 8:22 AM |
ВСе кричат фаервол, закрываться... а почему никто не вспомнит о АнтиВирусах? или это уже не модно? :) У нас случай был на NT4Server стоял IIS ну и кто-то пошалить решил и закачал на него трояна. Ну закачать то закачал, а Антивирус его в самом корню и грохнул! Да и с тем же Blasterom - решил залезть он на комп - а его Антивирусник определил и грохнул! ИМХО Вин-машину в сеть(любую) без Антивируса выставлять нельзя! |
|
| Qrot 3 Dec 2003 10:55 AM |
Masonok: а посоветуйте хороший бесплатный антивирус? |
|
| Pers 3 Dec 2003 11:26 AM |
бесплатный тока сыр в одном месте :)) а за безопастность нужно платить... |
|
| Пётр 3 Dec 2003 11:33 AM |
2 Murr. Так сейчас и на Виндовсах единственно что делают это грохают машину, данные-то не воруют. |
|
| Qrot 3 Dec 2003 11:51 AM |
Pers: какая свежая мысль. вы не очень вспотели пока ее думали? |
|
| dimav 3 Dec 2003 12:46 PM |
2Alexander S. " 2 dimav, Я, конечно, понимаю кто Сакс и Мастдай, и что существуют невыявленные дыры- тоже знаю. И предположить, что злобные хакеры написали трояна чтобы поиметь именно вашу контору- тоже могу. Почему именно вашу- потому что если бы всех- то было бы известно, как с MSBlast." Mblast - червь который самораспростронялся. а тут был взлом, пусть даже в полуавтоматическом режиме (те даже внутри сети даже внутри сегментов не бало "долбания" всех машин). так что не факт что ломают только нас и не факт что целились имменно в нас. скорее всего поломали (или попыталсь) поломать всех кто был на том сборище, зная что народ потом потащит нотебуки в не самые маленькие конторы и расслабится (а как же, vpn-там,firwall, сертифицированные админы и тд) тут-то можно и продолжить. IMHO повторюсь либо дыра в ie (или ie->word) или незакрытые порты для messagin-а (cм мой вопрос ниже) "Так что со всем этим согласиться могу- но два-три подобных инцидента в месяц??? Или вашу контору за что-то не любят, или ваш администратор не любит свою работу. " нормальные виндузовые администраторы. со всеми их плюсами и минусами. прямое следствие "zero adminitrative skill requied for ute systems" - те толковых мало. 2-3 инцидента для сети в несколько тысяч машин это увы норма. Сколько проблема с rpc не закрывалась ? сколько доп проблем возникала от непроверенных патчей за последние 3 месяца ? С какой скоростью это все может быть установлено в такого размера сети ? это при том что я бы файроволлов понатыкал больше. Как минимум все wlan-ы и все носимые устройства подключались бы через дополнительно контролирумые дырки.... А тут два дня машину "двойник" выловить не могли в одной из подсетей :( :( >>Если вы ставите в сеть (любую) систему (любую) без включенного firewall, то жалуйтесь потом на себя. " ну вобще-то это спорное утверждение. Это бесспорное утверждение. Как, скажем, рекомендация не вступать в случайные связи без презерватива. Разумеется, профессионал заметит, что надежность презерватива не 100%, а с учетом среднего качества товара и среднего опыта пользователя- куда меньше 100%. Однако рекомендация всё равно остаётся бесспорной. Так же и firewall. Гарантию даёт только страховой полис, но если вы настраиваете Win XP или Linux своим друзьям и поленились включить встроенный firewall- значит, вы не слишком хорошо относитесь к своим друзьям. Или наоборот- хотите их чаще видеть.:) " :) есть ведь и другой вариант насчет презерватива - не вступать в случайные связи. надежность у него повыше будет (это я об использованни нормальных систем, linux к ним пока не относится). С другой стороны запрещенные входящие соединения это персональный файрвалл или нет? :) файрвалл (ровно как и анализатор логов и антивирус) лишним не будет. но надеятся только на них - наивно. большинство атак идет через пользовательское по. через прямые дыры в os по большей части ломятся черви. Опять же от дыры в сетевом драйвере персональный файрвалл не спасет. |
|
| Pers 3 Dec 2003 3:17 PM |
2Qrot а без хамства уже никак и не обойтись? |
|
| Qrot 3 Dec 2003 3:59 PM |
Pers: я вполне ясно описал ниже, почему мне нужен бесплатный антивирус; если вы читали тред, то должны были это увидеть. вы же вместо ответа на вопрос говорите банальные, всем известные вещи. извините, не сдержался. ЗЫ: бесплатный антивирус для некоммерческого использования - avast! |
|
| Alexander S. 3 Dec 2003 5:56 PM |
2 dimav, "нормальные виндузовые администраторы. со всеми их плюсами и минусами... - те толковых мало." За человеческую тупость или леность будем винить Микрософт? Это риторический вопрос: конечно, будем! За всё будем, дарагой! "zero adminitrative skill requied for ute systems" Что такое "ute systems" не знаю, но буду страшно поражён если Микрософт заявляет то же для своих систем. Сссылочку, пожалуйста. От Микрософта, а не от Васи Пупкина, продавца "решений на базе Микрософт". "скорее всего поломали (или попыталсь) поломать всех кто был на том сборище" А я что сказал? Да, если сборище серьёзное- могли персонально для него написать что-то хитрое. Но два-три раза в месяц- это уже другая проблема. "С какой скоростью это все (патчи) может быть установлено в такого размера сети ?" Патчи могут быть установлены в корпоративной сети со скоростью нажатия кнопки "patch approved". Почитайте про Microsoft SUS, он бесплатный. Да, это не защитит от лаптопа соединённого к сети после долгого перерыва, но если все остальные компьютеры пропатчены и имеют свежие сигнатуры в антивирусе, то новый лаптоп будет безуспешно пытаться заразить сеть пока сам не скачает патчи и сигнатуры- и не излечится. Да, и это не спасет от злобного суперхакера, но знаете- нет 100% решений любой проблемы. Однако 2-3 раза в месяц- многовато. "есть ведь и другой вариант насчет презерватива - не вступать в случайные связи. надежность у него повыше будет" Абсолютно согласен: но это значит, что компьютер нельзя подключать к общественной или офисной сети. Вас это устраивает? У нас есть спецпроект, на котором задействовано около 500 серверов, из них примерно половина Windows, NT и 2000. Uptime на этих серверах более года, многие ещё с SP1 работают, антивирус не используется. Вирусов и хаков не замечено. Знаете почему? Эамкнутая сеть, без выхода куда либо, и строжайший контроль за тем как софтвер попадает на эти сервера. Строгий контроль и за тем, кто в этой сети работает: обычно, кстати, никто- если надо один из серверов "администрировать", настройки там подправить или софт обновить или ещё что- это большое событие которое требует письменной заявки от заявителя со списком всех необходимых действий, и подписи трёх разных начальников (замдиректора, технического менеджера проекта и программистского менеджера проекта) под заявкой (я не преувеличиваю). При этом собственно администрирование проводит не заявитель, а оператор во время ночной воскресной смены, действуя согласно заявке. Да и софт появляется не сразу, а сначала прогоняется в течение как минимум двух недель на отдельной тестовой системе. Это называется карантинный период. Всё равно есть риск проникновения вируса или эксплоита или специально встроенного в софтвер кода для уничтожения системы, но риск минимизирован. Да, ещё вот что: есть backup. Мы можем стереть полностью все сервера через format C: и восстановить их в течение 4 часов. Все 500. Копии делаются раз в неделю и хранятся полгода. Кстати, UNIX и Linux, которые там же бегут на остальных 250 серверах, тоже давно непатченные. Незачем. Вам нравится такая система? Мне тоже. Но для повсеместного использования она не подойдёт. |
|
| Cheetah 3 Dec 2003 6:32 PM |
"Дед Маздай и зайцы". Можно переложить на современный язык и продать театру на Таганке. Будут аншлаги. |
|
| Cheetah 3 Dec 2003 6:45 PM |
2 Alexander S: интересный проект. Во всяком случае по степени огранизации работы. Молодцы. Не намекнешь, где вы его реализовывали? Просто интересно. Думаю, 10 против 1, что не в России. |
|
| Alexander S. 3 Dec 2003 8:30 PM |
2 Cheetah, Точно не в России. Но и не в США. Заказчик захотел в Канаде. И за большие деньги проект: заказчик не скупился. И ПО которое бежит на этих серверах занимается тем, что здесь называется number crunching. ПО без всякого GUI, разумеется. И мы бы предпочли чтобы ПО бежало на одной платформе- причём не важно какой, но заказчик требует разнообразия. Ну раз требует, то вот на тебе: NT, 2000, Sun, HP-UX, FreeBSD, Linux. Всего понемногу. Правда, заказчик что-то заскучал в последнее время (где-то год назад) и решил сэкономить деньги переходом на чистый Intel. Поэтому Sun и HP-UX на не-Интеловской платформе получат от нас большое "до свидания". Так что когда кто-то говорит что Линукс убьёт Окна, я широко улыбаюсь, потому что в этом проекте у нас он убивает совсем не Окна. |
|
| MOHTEP 3 Dec 2003 9:41 PM |
А что-то не слышно шавки Anti-MS, так славно лаял он у нас на Бейкер стрит... |
|
| Cheetah 3 Dec 2003 10:06 PM |
Еду в Канаду. Задолбало здесь все. До крайней степени. |
|
| V 4 Dec 2003 11:49 AM |
2 Cheetah : > По новой системе отбора эмигрант должен набрать не менее 80 баллов . > По новым правилам эта семья должна будет показать уже 27,805 канадских долларов. > Как можно набрать 80 баллов Вы должны иметь степень кандидата или доктора наук, либо в худшем случае закончить аспирантуру. В этом случае Ваше образование будет оценено как Master degree, и Вы сможете набрать 25 баллов за образование. Вы должны свободно владеть английским. За свободное владение английским Вам начисляется 16 баллов. В итоге, имея 10 баллов за возраст, 25 баллов за стаж работы и 4 балла за образование жены эмигрант может набрать 84 балла. ;) |
|
| Пётр 4 Dec 2003 12:46 PM |
2 Alexander вот это я понимаю - отлаженные процессы, ITIL и MOF в действии. |
|
| dimav 4 Dec 2003 1:59 PM |
2 Alexander S "нормальные виндузовые администраторы. со всеми их плюсами и минусами... - те толковых мало." За человеческую тупость или леность будем винить Микрософт? Это риторический вопрос: конечно, будем! За всё будем, дарагой! "zero adminitrative skill requied for ..our.. systems" Что такое "ute systems" не знаю, но буду страшно поражён если Микрософт заявляет то же для своих систем. Сссылочку, пожалуйста. От Микрософта, а не от Васи Пупкина, продавца "решений на базе Микрософт". ... ссылки не дам, после обявления тустед нетворк и прочих инициатив высказываний на тему "администрирование предельно упрощено и проч:" найти стало более затруднительно. С другой стороны в разной форме такая рекламная компания шла где-то с 97-98 по 2002 год и вы ее наверняка помните. ... решения были приняты, их последствия мы будем разгребать еще долго. ... если за человеческую тупость мы не виним MS то и этой статьи быть не должно - к моменту взлома дыра была изветсна и патч предложен. так что подход должен быть одинаковым (я это еще в первом посте сказал).
|
|
| dimav 4 Dec 2003 2:36 PM |
2 Alexander S ""С какой скоростью это все (патчи) может быть установлено в такого размера сети ?" Патчи могут быть установлены в корпоративной сети со скоростью нажатия кнопки "patch approved". Почитайте про Microsoft SUS, он бесплатный" Не переносите свой замечательный опыт числодробильной сети из тысяч близко расположенных компьютеров с ограниченным набором строго проверенных программ на сеть разбросанную IMHO чуть ли не по всем континетам и часовым поясам (на по 18 точно :) ) с достаточно разнообразным ПО, про которое нельзя заранее _без_ тестирования что с ним будет после патчения. глючащий после патча какой-нибудь тул для обена прайсами или договорами на базе IIS+excnage+vb может быть разрушительнее иного вируса или трояна. А случаи вызода патчей после которых что-то ломалось были неоднократно. |
|
| Пётр 4 Dec 2003 4:00 PM |
2 dimav. А зачем зоопарк разводить? Для патчей в вашем случае конечно лучше поставить SMS, наделать сайтов и по ночным местным часам патчи ставить. |
|
| Пётр 4 Dec 2003 4:01 PM |
а для задач типа обмена прайсами, я, например, сейчас присматриваюсь к новому BizTalk. |
|
| dimav 4 Dec 2003 5:49 PM |
2Пётр "4 декабря, 2003, 16:00 - Пётр 2 dimav. А зачем зоопарк разводить? Для патчей в вашем случае конечно лучше поставить SMS, наделать сайтов и по ночным местным часам патчи ставить. " Я же писал что не админ и тем более правов на правильное построение It-инфраструктуры у меня нет. Вопросов "а почему так сделано" у меня возникает масса. что-то даже двигается. но факт того что в большой сети в которой живут и девелопера и производственники и конструктора и логистики и менеджмент разного уровня и направлений и так далее и так далее. работающие с болле=менее единообразным но всеже не одинаковым софтом не одного и не двух десятков наименований "одной кнопкой" в soft=update патч не поставишь имеет место быть как обеъективный. несколько тысяч машин несколько десятков сетей/подсетей/групп/etc. Не так все просто как в случае 200-400 пусть и оффисных машин в одном здании и с четко разделенными задачами бухгалтерии - сюда, девелоперы - туда, sale-ы в третье место а для начальства отдельная vpn с возможностью постмотреть все что угодно но и с защитой от того самого подсаживания троянов в буки и pda.
|
|
| Пётр 4 Dec 2003 6:00 PM |
2 dimav. Вы вашим админам намекните про службы каталогов, чтобы там всех по контейнерам разбить, девелоперов в один, бухгалтеров в другой и т.д. А там на уровне контейнеров политику системную распространять. Я бы даже мог рассказать как примерно делать инфраструктуру для такой конторы как Ваша, но только предупреждаю - сделана она будет на МСе :) |
|
| Alexander S. 4 Dec 2003 6:21 PM |
2 dimav: "Не переносите свой замечательный опыт числодробильной сети..." Да я вроде и не переношу... Вроде бы указание года uptime для Windows должно навести на мысли, что в этой сети системы обычно не патчатся. SUS и SMS подходят для офисных пользователей. Всегда найдётся подмножество оных, не довольное автоматической раздачей патчей. Всегда найдутся такие, кто не желает устанавливать антивирус. В нашей фирме был случай, когда программисты взбунтовались и отказывались пользоваться антивирусом, потому как замедляет работу компилятора. И не сильно, а очень сильно. Да и вообще, тормозит система... Что делает в этом случае сисадмин калибра вашего? Решает: пусть у начальства голова болит. Что сделал сисадмин калибра нашего? Пошел к программистам и провёл замеры замедления работы компилятора в разных режимах, получил около 10-15%. Заметно, но не смертельно. На этом этапе можно было сказать "..уели, ребята" и поссориться с народом. Вместо этого сисадмин выписал заявку начальству на апгрейд железа программистам- начальство подмахнуло- а как вы сами знаете, новый компьютер всегда раза в полтора-два быстрее старого хотя бы годичной давности. Результат: довольные программисты рулят на новых компьютерах с установленным антивирусом, довольный сисадмин покрыл антивирусом наиболее беспокойную и рисковую группу пользователей. А можно, конечно, рассказывать что инфраструктура настолько сложная, люди настолько разные- что патчить автоматически невозможно и антивирусы скорей вредят чем помогают. |
|
| dimav 4 Dec 2003 7:19 PM |
2 Пётр - сделана она будет на МСе :) Ха испугали. она и так почти на 90% на нем. :) хотя нет часть на linux и часть отосящася к финансам на чем-то толстом, что не ломается и не падает. :) |
|
| Пётр 4 Dec 2003 7:22 PM |
ну криво же сделана. :) а можно не криво сделать. Занете если меня посадить делать что-то на линуксе, то оно будет кривым и падать постоянно, честно говорю Вам. :) |
|
| dimav 4 Dec 2003 7:43 PM |
2 Alexander S. "2 dimav: "Не переносите свой замечательный опыт числодробильной сети..." Да я вроде и не переношу... Вроде бы указание года uptime для Windows должно навести на мысли, что в этой сети системы обычно не патчатся. SUS и SMS подходят для офисных пользователей. Всегда найдётся подмножество оных, не довольное автоматической раздачей патчей. Всегда найдутся такие, кто не желает устанавливать антивирус. ..." и всегда есть время на установку патчей и еще большее время на проверку что данный патч 1) не ломает ничего рядом 2) обратим при нектором бутербоде - от notes-а до симантековсого анитвируса с remote-контролом,от старого excgange на nt40 со сопряжением с банком где-то в южной америке :) до последней версии .net :) время на установку патчей составляет часы и даже дни. А то и пару недель. ведь в сети не один сервер и не десять :( и сделать так что новая схема подтверждентий ключей или там респонзов отрежет филалу или его части выход довольно легко. а вот вернуть обратно.... и если есть XYY машин с 98-nt4 или еще какой экзотикой то надо либо их заменить либо организовать для них отдельную авторизацию но никуда не выпускать... возвращась к теме стати - сколько времени прошло от обнаружения дыры до взлома ? 1день 1 неделя 1месяц ? незапатчили вовремя - сами себе виноваты, так же как и те изза которых slammer-ы с blaster-ами разбушевались. А вот когда выходит патч который дыры не закрывает то тут уже не админы виноваты. дыра есть. точнее была. И есть еще одна а может и две. И наверняка X не найденных. сухой остаток в том что их пока меньше чем в linux и есть известный набор патчей и правил существенно понижающий возможные последствия нахождения таких дыр (и вот за неустановку этих патчей на fsf-фном сервере админов надо в пивной бочке утопить :) :) ) Для windows это тоже существует но в значительно меньшей степени и из-за закрытости архитектуры и из-за "интегрированности" всего и вся. |
|
| Пётр 4 Dec 2003 7:50 PM |
ладно я тут уже на ЗДнете рассказывал как у нас помойка файловая была под НТ4 полтора года стояла без перезагрузок, выключить пришлось, когда нам её передвинуть пришлось в другую комнату. и ещё года полтора стояла, до того как срок гарантийный кончился и ломаться начала. Прообраз нынешних StorageServer Windows Powered. :) |
|
|