Nota Bene

Помните мой недавний пост по проблеме контроля над приложениями?

Любопытно, после него мне в личку насыпалось много идей. Особняком стояли несколько циничных каментов, мол, «да это всё можно на коленке сделать!». Ага, сложно не согласиться. И антивирус можно самому на коленке написать, и самолёт построить и велосипед изобрести. Я серьёзно – можно ведь! Дело упирается в другое – время, ресурсы и качество реализации.

С контролем над приложениями ситуация другая.

Действительно, на поверхности лежит простая реализация такой фичи: создаём домен, прописываем в нём пользователей, включаем политику ограниченного использования программ, создаём MD5-базу доверенных/запрещённых приложений и вроде как всё. Именно, что «вроде», потому что при первом же обновлении софта (а софт нынче ох как любит часто обновляться) сисадмину придётся писать базу заново! И пока это не сделать обновлённые программы работать не будут, от пользователей посыпятся гневные письма и звонки, а босс так вообще будет … ммм… очень недоволен. И так постоянно – добро пожаловать на аттракцион «belka v kolese».

Здесь всплывает одна незаметная, но мега-полезная фича нашего контроля над приложениями – Trusted Updater (или, как говорят наши разработчики — «доверенный обновлятор»). Она не только автоматически обновляет установленные программы и актуализирует базу данных доверенного софта, но и следит за наследованием «доверенности» программами, которые были вовлечены в процесс обновления. Ну, первое просто и понятно, а вот второе требует пояснения.

Рассмотрим пример. Есть некий «обновлятор», который в процессе обновления он запускает, скажем, браузер (например, чтобы показать пользовательское соглашение) и передаёт ему свои привилегии. Но что происходит, когда обновление завершено? Догадываетесь к чему это я клоню? Да! В некоторых продуктах браузер действительно наследует привилегии вызвавшей его доверенной программы пока его не перезапустят! Т.е. он может выполнять действия, которые по политике безопасности ему запрещены – например, качать что-то из Интернета, а самое главное запускать это. Более того, сам браузер получает возможность вызывать дополнительные программы и уже им передавать права апдейтера.
Получается, что одно-единственное обновление может порушить вообще всю систему безопасности. И «это не баг, а фича» ©

Наш же Trusted Updater контролирует обновление и как только процесс завершился, восстанавливает привилегии по всей цепочке задействованных программ. Важно, что наша система ещё и заранее знает, какой «обновлятор» является доверенным – для них есть специальная категория в нашей Whitelist-базе. Кроме того, если сисадмин хочет, он может сам добавить любые «обновляторы» в эту категорию — никаких забот и хорошая прибавка к уровню защиты от всяких хитрых бэкдоров.

Дальше: 4 варианта реализации

Всем привет, между Лондоном и Москвой на прошлой неделе затесался еще и Брюссель, в который мы заскочили даже не на день — а на всего-то примерно 20 часов. Однозначно — бельгийское пиво сразу! Одно из самых лучших в мире пив!

Бельгия еще славится шоколадом, писающим мальчиком, Атомиумом и другими предметами — но в этот раз всё остальное прошло мимо, график по традиции весьма напряжённый. Всё ограничилось Еврокомиссией, где случился +1 к прямым эфирам на самых топовых международных телеканалах. Уже было: BBC, CNN, Bloomberg, Russia Today (тоже международное вещание) — а теперь вот и Евроньюс тоже в списке!

Дальше: отдохнуть бы недельку, да кто ж её даст!

А вот и нет! В заголовке никакого намёка на девиативную ориентацию – речь о крупнейшей европейской выставке по информационной безопасности, Infosecurity Europe, «в народе» действительно именуемой «Инфосек».

Дальше: кибер-военщина is hiring!

Всем привет из Лондона!

Мы вчера приземлились, выпили Гиннеса (не самого настоящего, Лондонского) и готовимся к предстоящим безобразиям: традиционный InfoSec, ночная гала-туса SC Magazine… и что там еще будет, в расписание смотреть пока лень. Stay tuned!

Всем привет!

Для посетителей этого блога – в особенности тех, кто не читает Securelist, не подписан на мой Твиттер и Фейсбук (да-да, там самое-самое важное дублируется!). Мы опубликовали, пожалуй, самый глубокий анализ Flashfake (Flashback) – того самого трояна, который недавно отметился созданием первого в истории Маковского ботнета. Да ещё какого ботнета – 700 тыс. машин! В общем, выкладываю сюда весь текст, а кому понравится – срочно подписывайтесь на Securelist.

Дальше: анатомия Flashfake. Часть I

Это я уже однажды говорил… Ээээ… Ага — про Дубай!.

Но Шанхай тоже очень и очень впечатляет.По размаху, количеству небоскрёбов, по размерам двух своих аэропортов, по количеству многоярусных развязок и двухэтажных магистралей, которые сеткой покрывают весь город. Там, наверное, несколько сот километров трёх-четырёх-полосных (в каждую сторону) дорог проложено по всем направлениям. Токио типа «отдыхает и нервно курит в сторонке», да. Но что-то мне не везёт на погоду — Шанхай снова покрыт дымкой, пейзаж на горизонте проглядывается с трудом.

Дальше: недо-Маглев и F1 по-шанхайски…

Всем привет, пора отдавать долги, а их накопилось…

Что-то меня накрыло плотным графиком. 4 города за неделю+ (без учёта Москвы) — уже как-то тяжеловато стало, раньше вроде мягче проскальзывало :)

Итак — снова Токио! Япония — уникальная, ни с чем ни сравнимая страна — и Токио, столица её, безумный, волшебный мегаполис, взрывающий мозг. Короче, лучше один раз увидеть, чем сто раз услышать. И тем более лучше один раз побывать, чем отсмотреть сотню фоток. Посему — если кто ещё ни разу не был в Японии, при первой же возможности — дуйте туда. Очень настоятельно рекомендую.

Дальше: апрель — сезон цветения сакуры!

Что лучше – Мак или PC? Извечная тема практически религиозного противостояния, мало кого миновавшая, равнодушных почти не осталось. Похоже, в этой истории появилась очередная глава, которая более похожа на некролог эпиграф. Превосходство платформы Мак наконец-то по настоящему признали и кибер-преступники.

Дальше: А именно…

Еще Кто не видел Shibuya... . .

// или почему и как мы решили защищать виртуальные среды.

Амбиции, лень и жадность двигают технический прогресс. Ну, ещё случаются гениальные прозрения неизвестного происхождения — их можно списать на исключение, подтверждающее правило. За последние 10 лет в IT произошло много всего разного, но в основном надувались, лопались и снова надувались пузыри. На этом грустном фоне есть несколько примеров обратного – как технологии проходили все стадии от концепта до индустриального мейнстрима. Один из самых интересных случаев – виртуализация.

Для начала — ликбез. Кому неймётся сразу к главному – кликайте сюда.

Дальше: как мы решили главный косяк защиты от зловредов …