Zaloguj się

***dedito*** · (Ten post był ostatnio modyfikowany: 27-01-2022, 09:07 przez dedito.)

(27-01-2022, 08:49)omkar napisał(a): Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.

Przeczytaj może jeszcze raz na spokojnie co pisał morfik o twoim FW z naciskiem na to co pisał o kolejce połączeń wychodzących.

SuperTux · (Ten post był ostatnio modyfikowany: 27-01-2022, 14:59 przez SuperTux.)

0

Mam pytania:

-Jak wykryć oprogramowanie szpiegujące? (Jedyny pomysł co mi przychodzi do głowy to monitor ruchu sieciowego. )
-Czy spyware będzie wyświetlało się w menedżerze zadań jako proces?
-Jak zlokalizować katalog z szpiegującym oprogramowaniem?
-Czy spyware może zaszyć się w oprogramowaniu układowym?
-Czy da się zablokować w FW nieznane protokoły?

Wiem, że samo używanie serwera X.Org bez firejail jest niebezpieczne, bo otwiera właśnie furtkę dla oprogramowania szpiegującego.

A zanim użytkownik się zorientuje, że miał zainstalowane oprogramowanie spyware to program zdąży wysłać jakieś poufne dane.

I teraz najważniejsze:

-Jak zapobiegać takim zdarzeniom?

Bo tak jak mówiłem jak użytkownik zorietnuje się, że działa oprogramowanie spyware to zazwyczaj jest już po ptakach i jedyne co można zrobić to zmienić hasła na innym urządzeniu.

***morfik*** · 27-01-2022, 15:35

1

Better response on post RE: <span class="highlight" style="padding-left: 0px; padding-right: 0px;">Ochrona</span> PC z <span class="highlight" style="padding-left: 0px; padding-right: 0px;">Linuksem</span> Mintem

(27-01-2022, 08:49)omkar napisał(a): Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.

Tu nikt nikomu nic nie wmawia. Co ja ci poradzę, że w taki sposób odbywa się wymiana informacji przez sieć. Obecnie też nie mamy lat 80-90, gdzie wektory ataku były zupełnie inne niż obecnie z racji odmiennej rzeczywistości, w której ludzie żyli -- trzeba ten istotny fakt zrozumieć.

(27-01-2022, 12:40)SuperTux napisał(a): Z tego co wiem BitTorrent może działać na każdym porcie, tak samo jest z spyware, keyloggerami (Można stworzyć program, który ma tablicę portów i jak nie uda się nawiązać połączenia może próbować inicjować połączenie na następnym porcie.)

Do realizacji połączenia jest potrzebnych 5 rzeczy -- lokalny adres IP, lokalny port, zdalny adres IP, zdalny port i protokół. Każdy klient torrent korzysta z portów efemerycznych używanych do zestawiania połączenia -- generalnie to każda aplikacja kliencka z tych portów korzysta jeśli chce nawiązać połączenie sieciowe (to jest lokalny port). W qBittorrent można zakres tych portów sobie dodatkowo sprecyzować/zawęzić, np. 55000-56000 i tylko z tych portów ten klient torrent będzie próbował nawiązać połączenie. Niemniej jednak, te porty to są porty wychodzące, a nie przychodzące.

Port przychodzący jest z reguły jeden i też go w opcjach qBittorrent'a można określić i to na ten port będą przychodzić zapytania z sieci (jeśli mamy publiczny IP). Ten port możesz otworzyć na FW w INPUT i wtedy klienty torrent'a z prywatnych adresów IP (tych za NAT ISP) będą miały możliwość nawiązania połączenia z twoim "klientem" torrent'a, czego efektem będzie więcej peer'ów i szybszy transfer.

(27-01-2022, 12:40)SuperTux napisał(a): I teraz jest pytanie:

-Jak wykryć oprogramowanie szpiegujące? (Jedyny pomysł co mi przychodzi do głowy to monitor ruchu sieciowego. )
-Czy spyware będzie wyświetlało się w menedżerze zadań jako proces?
-Jak zlokalizować katalog z szpiegującym oprogramowaniem?
-Czy spyware może zaszyć się w oprogramowaniu układowym?

Opcji radzenia sobie z tymi problemami jest sporo, tutaj przykłady:
https://nfsec.pl/security/6386
https://nfsec.pl/security/6358
https://nfsec.pl/security/6336
https://nfsec.pl/security/6322
https://nfsec.pl/security/6314
https://nfsec.pl/security/6237

Generalnie to na nfsec jest sporo artów traktujących o analizie procesów.

(27-01-2022, 12:40)SuperTux napisał(a): Poza tym samo używanie serwera X.Org bez firejail jest niebezpieczne, bo otwiera furtkę właśnie dla oprogramowania szpiegującego.
A zanim użytkownik się zorientuje, że miał zainstalowane oprogramowanie spyware to program zdąży wysłać jakieś poufne dane.

Ja nie używam firejail, ino jadę na czystym apparmor i profil dla Xorg'a też mam ale to i tak zbyt wiele nie pomoże, bo xorg jest niebezpieczny sam w sobie -- appki mogą np. podglądać przyciskane klawisze i nie trza do tego uprawnień root. Generalnie żadna izolacja aplikacji na xorgu nie istnieje. Jeśli teraz jakiś syf ci się wgra, to przechwyci ci klawisze bez żadnego problemu i nawet o tym nie będziesz wiedział, bo to nie bug w linux, to ficzer. Big Grin

Wayland ma to adresować. Tak czy inaczej, jeśli nie będziesz filtrował OUTPUT na FW, to te klawisze mogą zostać przesłane w świat przez ten proces, który nasłuchuje tych eventów i jest pozamiatane. Dlatego u mnie OUTPUT jest obowiązkowo filtrowany by nawet podczas takiej kompromitacji ograniczyć jej skutki. Big Grin

omkar · 31-01-2022, 13:14

0

Zagrożenia w Linuksie to jest aktualnie jeszcze temat teoretyczny. Bardzo trudno jest, jeśli w ogóle, natrafić na wirusy, spyware, czy keyllogery. W Windowsie robiłem testy aplikacji zabezpieczających na prawdziwych wirusach i nie miałem problemu żeby je pobrać. Tutaj niczego nie mogłem znaleźć i na nic nie natrafiłem poza jednym, niegroźnym zainfekowaniem Firefoxa kilka lat temu.
Ja mam tylko zainstalowany uBlock Origin z odpowiednimi listami i to głównie ze względu na reklamy których nie znoszę, włączoną zaporę w profilu Dom i sporadycznie uruchamiam przeglądarkę w piaskownicy, szczególnie podczas przelewów, ponieważ zapobiega ona keyllogerom i zrzutom ekranu przez aplikacje zewnętrze w przeglądarce. Wiem, że takich aplikacji nie ma na moim komputerze, jeśli w ogóle istnieją, ale wolę nie być zaskoczonym. Taka szajba Smile

matadrox · 31-01-2022, 17:25

0

@omkar W temacie zabrakło wspomnienia o dość banalnej, ale przydatnej opcji, ochrony Grub-a przed modyfikacjami, np zmianą hasła. Poza tym, może też zainteresuj się tym: https://madaidans-insecurities.github.io...l#firejail To o ile trafia w sedno, to zapewne nie kończy tematu.

***morfik*** · (Ten post był ostatnio modyfikowany: 02-02-2022, 21:13 przez morfik.)

0

(31-01-2022, 13:14)omkar napisał(a): Zagrożenia w Linuksie to jest aktualnie jeszcze temat teoretyczny. Bardzo trudno jest, jeśli w ogóle, natrafić na wirusy, spyware, czy keyllogery. W Windowsie robiłem testy aplikacji zabezpieczających na prawdziwych wirusach i nie miałem problemu żeby je pobrać. Tutaj niczego nie mogłem znaleźć i na nic nie natrafiłem poza jednym, niegroźnym zainfekowaniem Firefoxa kilka lat temu.
Ja mam tylko zainstalowany uBlock Origin z odpowiednimi listami i to głównie ze względu na reklamy których nie znoszę, włączoną zaporę w profilu Dom i sporadycznie uruchamiam przeglądarkę w piaskownicy, szczególnie podczas przelewów, ponieważ zapobiega ona keyllogerom i zrzutom ekranu przez aplikacje zewnętrze w przeglądarce. Wiem, że takich aplikacji nie ma na moim komputerze, jeśli w ogóle istnieją, ale wolę nie być zaskoczonym. Taka szajba

Wrzuć tutaj (albo mi na priv) wynik iptables -S . Chcę rzucić okiem jak wyglądają u ciebie reguły w FW, bo bez nich nie sposób powiedzieć jak FW u ciebie działa. Big Grin

omkar · 02-02-2022, 14:51

0

Kod:
Fatal: can't open lock file /run/xtables.lock: Permission denied

***dedito*** · 02-02-2022, 20:59

0

Już samo Permission denied powinno podpowiedzieć gdzie leży przyczyna ...

***morfik*** · 02-02-2022, 21:14

0

No polecenia też brak, więc zbytnio nie da się powiedzieć co tam zostało w terminal wpisane. Big Grin

Blade · (Ten post był ostatnio modyfikowany: 02-02-2022, 22:08 przez Blade.)

0

(02-02-2022, 20:59)dedito napisał(a): Już samo Permission denied powinno podpowiedzieć gdzie leży przyczyna ...

Uruchom to polecenie jako root.

Cytat:sudo iptables -S

W takim razie jest sens używać tej zapory z domyślnymi ustawieniami?

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie