Grzegorz Niemirowski, dnia pon 14 lis 2005:
> http://www.grzegorz.net/articles/index.php?id=virwormtroj
Pozwolę sobie na polemikę:
Ważną rzeczą jest aby nie pracować jako administrator/root ale na
zwykłym koncie. Pamiętajmy, że wirusy mają takie prawa jak my. Jeśli
pracujemy na zwykłym koncie i w jakiś sposób złapiemy wirusa, nie
będzie on mógł uszkodzić całego systemu.
Tu jest błąd - źle identyfikujesz na czym polega zagrożenie.
Uszkodzenie systemu jest zagrożeniem niewielkim - odzyskasz sobie go w
ten czy inny sposób (płytkę instalacyjną masz, żadna wielka strata,
poza stratą czasu).
Czego należy się obawiać to też nie będzie uszkodzenie informacji
(danych, usunięcie) - o ile jesteś rozsądny to masz ich kopię i to
również nie jest nic strasznego.
Obecnie realnym zagrożeniem będzie:
1) Niepowołany dostęp do tych danych - ktoś je pozyska i w jakiś sposób
wykorzysta.
2) Modyfikacja systemu/elementów środowiska (i do tego generalnie nie
trzeba administratora od razu) w celu zmylenia użytkownika i
sprawienia, aby przekazał on poufne (np. dostęp do konta bankowego)
dane nie tam gdzie trzeba.
3) Pozyskanie nieuprawnionej kontroli nad maszyną (która jest
właściwie równoznaczna z powyższymi punktami) w innych niecnych
celach, np. jako stacja przesiadkowa do dalszego ataku.
Czyli uszkodzenie systemu to generalnie nie jest najgorsza rzecz -
system się nie liczy (w większości przypadków, no chyba że w grę
wchodzi dostępność ceniona jak złoto) - to ma stosunkowo błahe skutki.
Zagrożeniem jest nieupoważniony dostęp do poufnych danych (system
(operacyjny) w moim rozumieniu to nie są dane) - a to można uzyskać
również z konta użytkownika.
Czasy w których celem wirusów czy bardziej ogólnie malware było sianie
spustoszenia dawno już minęły. Aktualnie zagrożenie to jest realna
kradzież, manipulacje itd. - a nie sam wandalizm, czy chęć popisania
się. Coraz częściej za tego typu atakami stoi zorganizowana
przestępczość, a nie jakiś żądny sławy pryszczaty nastolatek z bojowymi
zamiarami. ;)
Generalnie tak czy inaczej nie należy pracować z konta
administracyjnego z wszelakich względów. Ale to się tyczy w ogóle
higieny pracy, a nie w odosobnieniu, można nie pracować z konta
administracyjnego i nadal popełniać karygodne błędy.
Ostatnio czytałem jakiś raport - firma zajmująca się audytami
bezpieczeństwa (czytaj - przeprowadzają kontrolowany/zamówiony atak na
Twoją infrastrukturę) opublikowała dane na temat kilkunastu dużych
przedsiębiorstw (nazw firm z oczywistych względów nie podali). Z tych
badań wyszło, że przeszło 30% managerów wyższego stopnia (czyli takich
z dostępem do ważnych zasobów) przekazało bez zastanowienia się swoje
dane dostępowe w rozmowie telefonicznej z "serwisantem IT". :)
Na pewno nie pracowali jako Administratorzy (w sensie konta), jednak
niewiele to zmienia z punktu widzenia bezpieczeństwa.
Teoretycznie wirus może wykorzystać jakąś lukę do podniesienia swoich
uprawnień, jest to jednak mało prawdopodobne.
Jest to bardzo prawdopodobne i zdarzało się nie raz (ewidentny przykład
- Blaster).
Drugim problemem są programy pisane przez lamerów, którzy albo
zakochali się w Win98, pracują cały czas jako admini albo też nie
wiedzą co to jest NTFS. Ich programy próbują coś pisać na C:\,
C:\Windows albo w innych miejcach, gdzie nie powinny.
To jest święta racja, da się to obejść dając odpowiednie ACLe i
podobne voodoo odprawiając, no ale to faktycznie jest uciążliwe.
--
+ ' .-. .
. http://kosmosik.net/ * ) )
* . . '-' . kK
Received on Mon Nov 14 22:05:15 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 14 Nov 2005 - 22:42:02 MET