Hlavní navigace

Názory k článku Malware těžící kryptoměny používá rootkit, aby se ukryl před správci

Článek je starý, nové názory již nelze přidávat.

  • 12. 11. 2018 0:43

    D.A. Tiger

    Ale stopy po sobe zanecha. Treba ten soubor /sbin/netdns, by teoreticky mohl byt jednou indikaci o napadeni systemu. Zda se, ze zamenitelna binarka stejneho jmena asi neni (nebo se mi ji nepodarilo najit)

  • 12. 11. 2018 4:12

    Ariana (neregistrovaný) ---.91-127-51.t-com.sk

    Ve nadrazenem os by pak stacilo virtualu nastavit docasne jiny nice proti vytezovani cpu na sto procent pak diffem odstranit nezadouci soubory a vratit se do puvodniho stavu Takovy skripting proti jinemu skriptingu Samozrejme na zaklade podepsaneho nepozmeneneho fresh obrazu os Jen to nekdo napiste hekri :-)

  • 12. 11. 2018 8:04

    igor (neregistrovaný) 78.102.8.---

    "Nic netušící správce si malware do systému nainstaluje sám díky vlastní neopatrnosti a použití software z neznámého či kompromitovaného zdroje."
    "Trend Micro přidává na konci své zprávy několik dobrých rad: správci by se měli vyhnout instalaci neznámého software, ..."

    Takový blbý dotaz od BFU: co je "známý" zdroj? Pro mne jsou neznámé všechny, včetně např. třeba Debianích repositářů. Jediný důvod, proč bych jim měl věřit, který mám, je, že se to píšou kluci na internetu.

    A druhý blbý dotaz od BFU: neměly by právě k tomuto sloužit antiviry? (Které prý na Linuxu nejsou potřeba a když už, tak ke kontrole dat uživatelů produktů MS.)

    Tyto dvě otázky nejsou myšleny ani sarkasticky, ani jako rýpnutí.

  • 12. 11. 2018 8:14

    bez přezdívky

    Je to preblem windowsenych os ktore tahaju balicky. Ja pouzivam od zaciatku Slackware a vsetko co system neobsahuje taham zo zdrojakov a kompilujem si sam.

  • 12. 11. 2018 8:33

    Petr Neni (neregistrovaný) 165.225.72.---

    a pred tim, nez provedes kompilaci si projdes ty zdrojaky? Nebo stejne jako u binarnich baliku proste duverujes zdroju?

  • 12. 11. 2018 8:42

    přezdívka (neregistrovaný) ---.cust.vodafone.cz

    Ani to ale nezaručuje, že zdrojaky nejsou kompromitovány. Např. Nedávná kauza s Gentoo. A vy vite, které zdojaky jsou ok? Mě už se několikrát stalo, že sw co hledám měl na githubu několik "forku" a hledejte originál pokud jdete cestou "hledám sw co dělá X a Y"..hmm Google našel xyworker-ng, a pak další tři odkazy na různé místa, které vypadají že mají to samé. Pak jedině auditovat ručně někde ve virtualu než to člověk dá někam do produkce.
    Jinak třeba debianim repozitářům věřím protože jsou podepsané klíčem autorů.

  • 13. 11. 2018 13:53

    bez přezdívky

    Audit ve virtualu take neni jista metoda. Dnes je bohuzel detekce behu ve virtualu (ale i honeypotu atd) castou soucasti ruznych potvor. Prave proto, aby se na problem prislo pokud mozno pozde.

  • 12. 11. 2018 9:04

    JmJ (neregistrovaný) ---.bagirasys.com

    Tak jako kolega predemnou chci predeslat, ze to neni mineno nijak zle:

    Jak si muzete byt jisty tim, ze balicky v repu jsou ciste? A jak si muzete byt jisty, ze zdrojove kody jsou ciste?

  • 12. 11. 2018 19:36

    ivoszz

    Tyhle řeči se tady v poslední době začínají rozmáhat a jsou hodně populární (jak naznačuje i množství palců nahoru).

    Jistotu nemáte žádnou. Důvěřujete do míry pro vás snesitelného rizika.

    P.S.: Náš každodenní život je založen na poměrně velké důvěře v druhé, ta důvěra je pravděpodobně mnohem větší, než jste si schopen připustit. Když ráno nastupujete do autobusu, důvěřujete tomu, že řidič je držitelem řidičského průkazu a neflámoval do rána s lahví whisky. Když kupujete potraviny, důvěřujete tomu, že je cestou nikdo neotrávil. Když vytáčíte číslo 150, důvěřujete tomu, že v dohledné době vám přijede sanitka na pomoc, atd., atd. Co je proti tomu nějaký nakažený software.

  • 13. 11. 2018 1:29

    Lael Ophir

    Jedna věc je věřit při nákupu potravin tomu, že je nikdo neotrávil. Druhá věc je najít na chodníku balíček s nápisem "tohle je dobré jídlo, poslužte si, Karel". Nevíte kdo je Karel a jestli vůbec existuje, nelze ho dohledat, neexistuje dodavatelský řetězec, nevíte vůbec nic. To takový supermarket alespoň ví kdo ty potraviny vyrábí, kontroluje jejich kvalitu, ví kdo je dává do regálů, a má celkem zásadní finanční zájem na to, aby u nich prodávané potraviny nikoho neotrávily.

  • 13. 11. 2018 13:43

    Unknown (neregistrovaný) 78.108.102.---

    "Jedna věc je věřit při nákupu potravin tomu, že je nikdo neotrávil. Druhá věc je najít na chodníku balíček s nápisem "tohle je dobré jídlo, poslužte si, Karel"."

    V rozsirenem smyslu se jedna o duveru v instituce pod demokratickou kontrolou obecne.

  • 13. 11. 2018 17:09

    Lael Ophir

    (Západní) společnost je obecně pod demokratickou kontrolou. Přesto bych ten balíček na chodníku nechal ležet a nejedl jeho obsah, protože nevím co tom je, jak je to čerstvé, kdo to tam dal, jak to kdo zpracoval, jaká byla jeho motivace, a nelze ho hnát k odpovědnosti pokud se otrávím.

  • 13. 11. 2018 20:55

    L. (neregistrovaný) 91.219.246.---

    Zatímco Microsoft lze hnát k zodpovědnosti, když mi chyba ve Windows způsobí škodu? Ale no tak, licenční smlouvu jsme přece četli ;)

  • 14. 11. 2018 3:40

    Lael Ophir

    Tak minimálně víte odkud ten SW pochází, to že firma dělá background check zaměstnanců, a kód do produktu nepřidává anonymní emailová adresa, za kterou se může skrývat třeba tým libovolné rozvědky. Pokud ten SW způsobí škodu, tak je to velmi špatná reklama pro firmu, většinou dostanete minimálně podporu, a můžete vymáhat náhradu minimálně do výše ceny licence (záleží na jurisdikci). A když uzavřete smlouvu za víc peněz, tak můžete mít třeba SLA se zaručenou dobou vyřešení problému. V současném stavu SW průmyslu ale bohužel nemůžete čekat, že za cenu pár obědů získáte SW v rozsahu mnoha milionů řádek kódu s odpovědností za následné škody.

  • 17. 11. 2018 7:26

    Lael Ophir

    Jedna věc je EULA, druhá věc je zákon. Proč myslíte že se ve většině licenčních smluv na SW píše, že pokud je nějaký článek smlouvy neplatný, tak ostatní články dále platí?

    Licenční smlouva zpravidla stanoví, že zákazník nemá právo na náhradu škody, a pokud by to právo snad měl (což může vyžadovat zákon), tak náhrada nemůže převýšit zaplacenou cenu licence. Jenže tak jako v konkrétní jurisdikci není vždy možné náhradu škody vyloučit, v jistých případech není možné omezit horní hranici náhrady škody. Může se to týkat například hrubé nedbalosti, ublížení na zdraví nebo úmyslného zavinění. To že si přečtete EULA je sice dobré, ale problematika je přece jen trochu složitější.

  • 12. 11. 2018 10:13

    igor (neregistrovaný) 78.102.8.---

    Ok a co kompilátor? Tomu mám věřit a) protože mi to někdo napsal na internetu, nebo b) protože jsem si ho napsal sám? Viz https://www.root.cz/clanky/muzeme-verit-prekladacum-projekty-resici-schema-duverive-duvery/. (Pozn.: tento článek odkazuje na velice zajímavý příběh - jistě, je to jenom "story na internetu", označme jej jako "urban legend", ale přinejmenším mne nutí k zamyšlení - jak těžké je něco takového udělat? Jak se dokáže skrývat? Jak moc mohu věřit kompilátorům staženým z internetu?)

  • 12. 11. 2018 12:32

    madloki (neregistrovaný) ---.net.upcbroadband.cz

    Uz se stalo, ze v repository tusim freebsd nekolik let prezival modifikovany balicek zdrojaku kterehosi ftp daemona,
    v jehoz makefile byl v base64 vlozen kus "c" kodu, ktery ten makefile behem kompilace samotneho ftp zapsal do souboru, ten zkompiloval, spustil, smazal binarku i ten "c" a prepsal Makefile tak, aby nic z toho uz neobsahoval.

    Cili v OS pak az do prvniho restartu bezela binarka, ktera byla jen a pouze v memory, a po ktere zadna stopa nezustala.

    Faktem je, ze systemy typu bsd v te dobe mely bezne uptime 3+ roku ...

  • 12. 11. 2018 10:22

    Jakub Valenta (neregistrovaný) 2001:718:1:----:----:----:----:----

    Proč ti přijdou autoři antiviru důvěryhodnější než maintaineři debianu? A proč používáš systém, jehož autorům nevěříš?

    Debianí balíky jsou podepsané, takže není potřeba je kontrolovat po stažení antivirem, stačí ověřit podpis. Buď autorům důvěřuješ stejně jako autorům antiviru nebo k podepsaným balíkům existují zdrojáky, které si můžeš zkontrolovat, případně někoho zaplatit ať to udělá za tebe.

  • 12. 11. 2018 10:55

    igor (neregistrovaný) 78.102.8.---

    Omlouvám se, pokud z mého příspěvky vyplývají názory a informace, které nebyly mnou zamýšleny.

    "Proč ti přijdou autoři antiviru důvěryhodnější než maintaineři debianu?"

    Nepřijdou a maximálně jsem se snažil napsat svůj příspěvek tak, aby z toho nevyplývalo, že si to myslím. Moje část "neměly by právě k tomuto sloužit antiviry? (Které prý na Linuxu nejsou potřeba a když už, tak ke kontrole dat uživatelů produktů MS.)" není nic jiného, než jenom otázka, zda popisovaný problém nemají řešit právě antivirové programy.

    Pokud tam chcete hledat něco mezi řádky, tak je to narážka na rozpor mezi teorií a praxí.
    • Teorie: nikdy nic neinstalovat z neznámých zdrojů.
    • Praxe: potřebuji vyřešit problém, který není ve "známých" zdrojích nijak řešen.
    • Teorie: GNU/Linux antiviry nepotřebuje.
    • Praxe: viz článek. Viz seznamy všech možných bezpečnostních problémů otevřených i uzavřených aplikací. (A klidně vynechejme extrémy, jako je Flash.) Viz heartbleed. Jinými slovy, vždy se najde trhlina, jak napadnout systém.
    • Teorie: zdrojové kódy známých zdrojů jsou vždy bezpečné.
    • Praxe: viz příspěvky ostatních diskutérů.

    "A proč používáš systém, jehož autorům nevěříš?"

    Opět, maximálně jsem se snažil nic takového nepsat.

    Pokud vaši otázku re-interpretuji jako "jak moc věříš systému, který používáš?", potom je to úplně jiná záležitost a odpověď zní: do určité míry. Uvědomil jsem si, že používání PC (ať už používám Windows, Ubuntu, Debian, Gentoo, ...), vždy je to o důvěře a víře. Já věřím, že pravděpodobnost, že Xubuntu (které používám) je napadené je relativně malá, já věřím, že pravděpodobnost, že systém bude bez jakékoliv detekce napaden při běhu relativně malá (a přímo úměrná nebezpečným aktivitám, které se na PC budou dít) a beru to tak, že používáním PC riskuji, že moje víra neodpovídá realitě.

    Pokud bych se měl vrátit k vaší původní otázce, pak odpověď zní: protože jsem zhodnotil, že rizika jsou menší, než to, co mi ten systém dává. Kdybych na tom měl provozovat něco, na čem závisí životy jiných lidí (původně jsem chtěl napsat svůj vlastní život, ale pak mi došlo, že s tím bych zas takový problém neměl :D), tak bych to vyhodnotil jinak.

    "Buď autorům důvěřuješ stejně jako autorům antiviru nebo k podepsaným balíkům existují zdrojáky, které si můžeš zkontrolovat, případně někoho zaplatit ať to udělá za tebe."

    A nebo jenom kladu otázky o důvěře lidí k systému, který používají.

    Kdysi jsem si chtěl lehce upravit program Dia (šířka panelu s vrstvami mi silně nevyhovovala), tak jsem si našel zdrojáky, upravil a zkompiloval. Pokud bych měl toto revidovat, tak to abych si našel někoho, kdo bude sponzorovat moje bydlení a jídlo, protože volný čas na to nestačí ani náhodou. A audit všech programů, které používám (vč. OS)? Nato fakt nemám finanční prostředky. (Sem dosaďte libovolný vtip na téma teorie a praxe a toho, co teoreticky můžu.)

  • 12. 11. 2018 12:11

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Ok, tak polopaticky. Potenciálně zranitelný může být všechno, ale liší se přístup k tomu. Mějme možnosti A a B.

    Dejme tomu, že si instaluješ IM aplikaci. Hned v několika situacích můžeš postupovat různě:
    1) Získání binárky pro instalaci
    a) Prostě si ji stáhneš a instaluješ. Nevíš, od koho je a co dělá. Viz letitá aféra SourceForge, kde přidávali do instalaček, co tam být nemělo, bez vědomí autora.
    b) Stáhneš si podepsanou instalačku. Podle podpisu víš s 99% jistotou, že to opravdu zbuildil konkrétní člověk, nebo úzký okruh lidí. popřípadě sáhneš do podepsanýho repa od někoho, komu důvěřuješ a kdo to ověřil za tebe.
    c) Zbuildíš si to sám. Musíš ale věřit kompilátoru a přečíst si zdrojáky, nebo jim věřit.

    2) Instalace
    a) Spustíš instalační binárku s admin právy a děj se vůle útočníka
    b) Protáhneš to aplikací, která se místo podpisu autora, který za svoje dílo ručí, pokusí nanečisto ve virtuálu spustit instalátor a odhadnout jeho chování (antivir s analýzou kódu). Té aplikaci musíš věřit a není v její moci ověřit všechno - pokud je v aplikaci jenom 100 podmínek, máš obecně 2^100 možností chování. popřípadě hledá něco, co je na blacklistu a pokud to tam není, tak smůla.
    c) Necháš to na systémové aplikaci, která ověří autora (jeho podpis)

    3) Aktualizace
    a) Vybodnout se na to s tím, že můžeš mít třeba díru v šifrování záplatovanou před půl rokem, nebo se upraví protokol a nebudeš částečně kompatibilní.
    b) Ručně si stáhneš instalačku a instaluješ to znovu se vším kolem, co obnáší bod 1 a 2.
    c) Nechat na specializované aplikaci, aby to hlídala, stahovala a ověřovala podpisy.

    4) Provoz aplikace
    a) Věříš tomu, že dělá, co má
    b) Protáhneš provoz skrz nějakou aplikaci, které věříš, že odhalí nepravosti. S tím, že pokud je komunikace přes IM šifrovaná, tak buďto vůbec nevidí, co se děje, nebo musí mít dešifrovací klíče a louskne komunikaci. Pak sama představuje bezpečnostní riziko.
    c) Věříš aplikaci, ale nastavíš prostředí, ve kterým běží, tak, aby napáchala co nejmenší škody (= nemá práva zapisovat mimo vlastní historii a kontakty, nevidí síťový disky,...)

    Alternativa s antivirem obvykle obnáší to, že neznáš zdroj binárky a pokoušíš se ji analyzovat (pomalý a nemožný), monitorovat (číháš na něco a jenom tušíš na co) a nějaký program leze do veškeré komunikace na aplikační úrovni.

    Přístup s ověřením zdrojů oproti tomu stojí na "známým zdroji", který potvrdíš při první instalaci a kdykoliv ho můžeš vyřadit s tím, že aktualizace a změny může dělat jenom ten, kdo se autorizuje privátním klíčem, kterým změny podepíše.

  • 12. 11. 2018 13:21

    igor (neregistrovaný) 78.102.8.---

    Pokud váš příspěvek interpretuji správně, tak zjednodušeně řečeno říkáte, že existují různé způsoby, jak software do PC dostat a tyto způsoby mají různou míru rizika, že si tak do počítače zanesete nějakou zranitelnost/vi­rus/malware/a­pod.. A že to všechno vyžaduje víru, že zvolený zdroj není napadený (a v první řadě, že samotná aplikace dělá, co tvrdí).

    A pokud závěr chápu správně, tak tvrdíte, že podle vás je lepší vložit důvěru do mechanismu podepsaného OSS, než vkládat důvěru do antiviru, který z principu nikdy nemůže být 100% spolehlivý.

    No a pokud tedy toto všechno chápu správně, pak ano, určitě beru tento názor, přesto se mi stále nabízí otázka, zda by antivirus neměl být další linií obrany?

    (A čistě pro upřesnění, pod pojmem "antivirus" si nepředstavuji jenom a pouze "binární blob neznámého původu", ale klidně OSS - s klíčema a podpisama a autorem, co se za to všechno zaručuje, a všemi těmi bezpečnými serepetičkami.)

  • 12. 11. 2018 14:06

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Neměl. Je to jako když někomu pošleš po kurýrovi obálku plnou prachů.

    Když ti ten kurýr podepíše před svědky smlouvu s osobními údaji, který ověříš například podle občanky a on si prachy nechá, víš, z koho to vymáhat nebo komu rozbít hubu. (přístup na základě důvěry v certifikát).

    Když ti toho člověka dodá agentura a ručí za něho, můžeš, když zdrhne, vymáhat prachy po něm (= balíčkovací systém).

    Když vybereš náhodně někoho z davu se slovy "dones Lojzovi sto litrů v téhle obálce", na 99% neuvidíš ani toho člověka, ani ty prachy. A ani nevíš, jak s jmenuje, protože ti řekne falešný jméno (náhodný zdroj).

    Antivir je jako tvoje gorila. Platíš ji za to, aby hlídala zpoza rohu toho náhodnýho kurýra a sejmula ho, když udělá levárnu. Když si gorila skočí na WC, máš smůlu. A když sejme cestou kurýra preventivně a prachy si nechá, dokaž, že v tom ta gorila nemá prsty a že ho sejmula po tom, co zjistila, že je obálka pryč...


    Antivir musí ze své povahy mír přístup v podstatě kamkoliv - k datům, k aplikacím a ke komunikačním kanálům. A to i tam, kde se šifruje. Když se mu něco nelíbí, posílá to k analýze jeho tvůrcům a nectí tajemství. Je velký riziko mít něco tak komplexního s takovýma právama a furt online v systému, pokud to tam mít nemusíš.

  • 12. 11. 2018 15:33

    igor (neregistrovaný) 78.102.8.---

    Co se týče první poloviny vašeho příspěvku - možná teď něco nechápu, ale přijde mi, že vycházíte z předpokladu, že prosazuji názor, že antivir by se měl použít jenom a pouze ve spojení náhodného zdroje. Jenže takto to já nemyslím a omlouvám se, pokud jsem se v tomto vyjádřil nejasně. Pokud bych měl použít vaše příměry, tak nijak nevylučuji najmutí gorily, která bude dávat pozor na kurýra, který mi podepsal smlouvu (protože na něj ve skutečnosti fyzicky nemohu), nebo agenturu (protože nikdy nevím, zda mezi 1.000 lidmi v agentuře není 1 škodič).

    Co se týče druhé poloviny vašeho příspěvku, především "Je velký riziko mít něco tak komplexního s takovýma právama a furt online v systému, pokud to tam mít nemusíš." - tak tady je jedno moje velké AHA! které mi neustále unikalo. Takže když se neustále na internetu setkávám s názorem, že antivirus na GNU/Linux není potřeba, je tím ve skutečnosti myšleno "no, vlastně by se klidně i hodil, ale riziko vyplývající z jeho použití je větší, než ochrana, kterou by poskytoval". Jinými slovy, odpověď na moje otázky ohledně antiviru je více-méně "ano, ale bylo by to příliš riskantní (a nákladné - viz váš další příspěvek)". Chápu to správně?

  • 12. 11. 2018 15:40

    igor (neregistrovaný) 78.102.8.---

    Jenom tak mimochodem: ten váš příměr s gorilou bych ještě trochu rozšířil o to, že úkolem gorily je nejen dávat pozor na kurýra (tj. antivirus dává pozor, aby program dělá, co má), ale aby taky kurýra nikdo nenapadl (tj. antivirus dává pozor, že program není napadený virem) a sám kurýr se bránit neumí, protože umí jen jednu věc, ale zato ji umí pořádně.

  • 13. 11. 2018 7:38

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Takže místo jednoho kurýra, kterýmu nevěříš, platíš gorilu, která ho má chránit před okolím i pokušením a nemáš jistotu, jestli ta gorila nenapadne kurýra, nebo se nedomluvila s kamarádama, že "jich bude přesila"?

    AV ne dobře nakonfigurovaným a updatovaným systému s appkama ze známých zdrojů nic neřeší.

  • 13. 11. 2018 8:26

    igor (neregistrovaný) 78.102.8.---

    "Takže místo jednoho kurýra, kterýmu nevěříš, platíš gorilu, která ho má chránit před okolím i pokušením a nemáš jistotu, jestli ta gorila nenapadne kurýra, nebo se nedomluvila s kamarádama, že "jich bude přesila"?"

    Trochu jinak. Mluvím o případě, kdy mám systém a AV ze zdroje, kterému důvěřuji relativně hodně a pak potřebuji přidat aplikaci, která řeší můj problém, který základní zdroje prostě neřeší a která je z jiného zdroje.

    Jinými slovy, existuje agentura, která poskytuje kurýry, kteří řeší, co potřebuji a má moji silnou důvěru. Jenže o kus dál je nějaký kurýr, který umí něco, co kurýři z mé agentury, které věřím, prostě a jednoduše neumí. A tedy, znovu opakuji moji otázku: nebylo by fajn, kdyby agentura, které věřím, kromě kurýrů poskytovala i gorilu, která by dala pozor na kurýra, který je "tam z venku", který umí něco, co moje agentura neumí a já to moc a moc a moc a moc a moc potřebuji (a nemám peníze na to, aby moje agentura takového kurýra "vyrobila")?

    "AV ne dobře nakonfigurovaným a updatovaným systému s appkama ze známých zdrojů nic neřeší."

    Pokud dosavadní diskuzi chápu správně, tak vaše definice "známých zdrojů" jsou (především) repositáře distribuce(cí), které (z nějakého důvodu) věříte a případě několik dalších, vybraných repositářů.

    Pokud to chápu správně, tak to je sice moc a moc hezké. Jenže "dobře nakonfigurovaný a updatovaný systém s apkama jenom a pouze ze známých zdrojů" taky sám o sobě hodně problémů neřeší.

    Mnohým to možná stačí. Pro BFU je tenhle systém totálně nepoužitelný, protože nechápe, proč ten suprový super-bezpečný systém umí jen zlomek toho, co systémy "všech ostatních".

  • 13. 11. 2018 9:25

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    "Jinými slovy, existuje agentura, která poskytuje kurýry, kteří řeší, co potřebuji a má moji silnou důvěru. Jenže o kus dál je nějaký kurýr, který umí něco, co kurýři z mé agentury, které věřím, prostě a jednoduše neumí. A tedy, znovu opakuji moji otázku: nebylo by fajn, kdyby agentura, které věřím, kromě kurýrů poskytovala i gorilu, která by dala pozor na kurýra, který je "tam z venku", který umí něco, co moje agentura neumí a já to moc a moc a moc a moc a moc potřebuji (a nemám peníze na to, aby moje agentura takového kurýra "vyrobila")?"

    Jenomže přesně takhle to funguje. Tou agenturou s kurýrama je distro a jeho repozitáře. No jejich služby zahrnují i dohled nad čímkoliv. V té agentuře totiž všichni spolupracují a znají svoje úlohy.

    Chceš zakázat cizímu kurýrovi opustit budovu? Agentura to zařídí, má svoje lidi na recepci (firewall). Chceš, aby nešel do pátýho patra? Dej pokyn a interní ochranka to zařídí (práva na disku). Potřebuješ, aby neviděl dveře, do kterých nemá jít? SELinux je pro sychr schová za falešnou stěnu a jak na ni začne klepat, dá ti vědět... Jenom musíš říct, co vlastně chceš.

    Řešení s AV - "Lojza ho neměl pustit ven." "Lojza měl zastavit výtah, když jel do pětky." "Lojza mu nezavázal oči..."

  • 13. 11. 2018 9:50

    igor (neregistrovaný) 78.102.8.---

    Ok, aha, chápu, už je mi to asi o něco málo jasnější, díky za osvětlení. V tom případě mne to vede ke dvěma dalším otázkám:

    1.) Co když se nějakému viru/malwary/wha­tever podaří projít nějakou ochranou, např. jak popisuje článek? Jak jsem sám už dříve zmiňoval, nic není neprůstřelné (viz. např. heartbleed), takže se může stát - a stává se to - že někomu se všechny tyto ochrany podaří projít (do vašeho příměru s agenturou si představte tu slavnou scénu z Mission Impossible). Existuje nějaký způsob, jak udělat audit, že v systému mi už aktuálně nesídlí kurýr, co tam nemá co dělat? Nebo jedinou šancí je srovnat celou budovu se zemí a nechat postavit znovu? Co kontrola, zda se neskrývá v datech, které se prostě smazat nemohou?

    2.) Věta "Jenom musíš říct, co vlastně chceš." mne vede k mému tradičnímu problému "jak zjistit, jak říct, co vlastně chci?". (Odpověď Google používám už spousty let a ne vždy vede k informacím, které hledám.) Kupříkladu nedávno jsem sklidil hodně silnou kritiku za moji otázku na stackexchange, která něco podobného řeší. V základu jsem začal řešit "jak říct - jako BFU, jako uživatel, ne jako root - že nechci, aby mi apky, které sám spouštím, mohly lézt do ~/.ssh kromě whitelistovaných? (Samozřejmě problém je trochu komplexnější: začalo to tím, když si kolega nainstalovat Discord a ten okamžitě začal reportovat, co hraje za hry. To mne dost silně odradilo od toho jenom si jej zkusit, zvlášť, když jsem si uvědomil, že jakákoliv apka v user-space má stále přístup ke všem mým datům - prohlížeč, maily, projekty, fotky, databáze hesel, klíče v ~/.ssh, atd. Samozřejmě totéž platí o hraní her. Většinou narážím na argumentaci "ale apky/hry v user-space ti nenaruší systém". Jenže ochrana mých user-space dat je pro mne více-méně stejně důležitá, jako ochrana samotného systému...)

  • 13. 11. 2018 15:08

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Ad 1) Na to se používá cibulová metoda. Máš několik vrstev zabezpečení. Řekněme, že jsi zlý hoch a chceš sousedku šmírovat skrz web kameru pomocí šikovnýho prográmku. To znamená data z kamery posílat k sobě jako stream.

    1) Musíš nějak dostat binárku do jejího stroje. Takže ji donutit, aby ten program instalovala, nebo jí nabořit kompl. Takže narazíš na podpis binárky (bez privátního klíče ji k ničemu nepřibalíš), použít vlastní klíč, kterýmu její kompl věří ( = jsi dohledatelný) nebo mít práva roota a přístup ke stroji. Fyzický přístup znamená vloupání (plno stop), nebo tě tam sama pustí (ví o tobě). Vzdáleně musíš vědět IP adresu, musí mít zaplýho SSH démona, povolenýho na firewallu a ty musíš (znát heslo nebo mít svůj veřejný klíč v KNOWN_HOSTS). Beze stop a podezření tam tu binárku nedostaneš.

    2) Binárka musí mít přístup k síti a ke kameře. Předpokládejme, žes to zařídil během instalace (na tohle jsou práva v Androidu, aby ti úprava fotek nelustrovala kontakty).

    3) Musíš data dostat ven. Pokud nechceš trvale generovat traffic (může to být podezřelý, zkrátí výdrž na baterky u noťau,...), musíš poslouchat na některým portu. Ten port musí dovolovat komunikaci zvenčí (= otevřený firewall). Navíc je v IPv4 za NATem a v IPv6 díky PX mění IP adresy častěj jak jak prostitutka chlapy...

    Vyhráno máš, pokud získáš roota. Přenastaviš práva, instaluješ co chceš, uděláš díry kde chceš. Ale jako admin na widlích můžeš taky vyjmout c:\Program Files\MojeAppka ze skenů...

  • 13. 11. 2018 15:48

    igor (neregistrovaný) 78.102.8.---

    "Ad 1) ... cibulová metoda..."

    No jasně, to chápu, ale buď je to 100% neprůstřelné (což netvrdíte), nebo není. A já celou dobu řeším právě tu variantu, že se to už podařilo - což vychází ze samotného článku.

    Kdybych měl uvést zase nějaký případ, tak sourceforge je naprosto dokonalý. Zažil jsem dobu, kdy byl vyloženě synonymem pro slušnou službu, kde přímo samotní vývojáři mohli dát k dispozici své apky. Důvěru bylo potřeba mít jen v ty vývojáře, důvěra v sourceforge byla... automatická. Když se někdo ozval proti, byl odměněn nálepkou paranoika a konspiračního teoretika. Jak to dopadlo jste zmínil sám už dříve.

    Poznámky mimochodem:

    "2) Binárka musí mít přístup k síti a ke kameře. ..."

    Popravdě, ten systém práv z Androidu mi v GNU/Linuxu tak trochu chybí. Ano, vím, že tam svým způsobem jsou - ve formě skupin - ale i tak všechny user-space apky mají na můj vkus moc velký přístup k mým datům.

    A co se týče apky na úpravu fotek lustrující kontakty - nedávno se mi do rukou dostal starý stroj, tak si s tím hraji (ne, Googlu nevěřím ani za mák). Docela mne dostalo, že defaultní apka na galerie vyžaduje přístup ke kontaktům a bez něj se vypne. Jistě, lze nainstalovat jinou, ale apka na focení má shortcut na galerii - a odmítá otevírat cokoliv jiného, než je ta výchozí. Je to celkem sranda.

    "3) Musíš data dostat ven. Pokud nechceš trvale generovat traffic...

    NAT je určitě problém, ale přijde mi spíš jednodušší něco jako ping a tedy navázat spojení "zevnitř" v určitých intervalech. Proti argumentu, že musím do napadeného PC uložit svou IP - co třeba přibalit tor...

  • 13. 11. 2018 7:35

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Ne, vycházím z předpokladu, že pokud není člověk pitomec, snaží se neinstalovat bezhlavě kde co. A je lepší používat SW z garantovanýho zdroje, který má zájem o to, aby všechno fungovalo, než z náhodnýho zdroje.

    Náhodný zdroj je doména BFU na Windows. Stáhne program z Uložto, k tomu crack (binárka, která dělá kdoví co) a věříš, že tě AV ochrání. Když začne po spuštění cracku řvát AV, že něco přepisuje binárku, AV se prostě na chvíli zabije... Klasika.


    Ohledně "hodil by se" - nehodil by se. Linuxáci obvykle mají ve zvyku přemýšlet. Řešení s AV navíc má svoje pro a proti:
    + Odhalení nekalé činnosti
    + Hypotetická možnost zablokování procesu, pokud "se zblázní"
    - Spotřeba nějakých zdrojů v systému
    - Gró jeho práce je hlídat, jestli uživatel nezměnil soubor, který mu kernel nedovolí změnit
    - Pouhá iluze bezpeční, pokud nemá v DB všechny viry včetně mutací (a to nemá žádný AV na světě)
    - Nechrání šifrovanou komunikaci, nebo narušuje šifrování
    - Díky komunikaci s autory AV je nutnost předpokládat, že vynese citlivý data
    - Dobrých antivirů je jenom pár a pokud se v některým z nich najde slabina, díky jeho privilegiím je útočník okamžitě pán a vládce

    Jeho práci navíc zastane firewall (můžeš omezit, že se například na SSH nedostane nikdo mimo IT), balíčkovací systém (ověří, že updatovaný software je od stejnýho autora, jako předchozí verze a nikdo nic nepřidal), kernel (nepustí uživatele a program k datům/binárkám, ke kterým nemají mít přístup) a SELinux (omezí programu přístup k dalším prostředkům, který by neměl používat).

    AV měl největší smysl na Win95 až WinME. FAT32 (jediný podporovaný FS pro větší disky) totiž měl jednu obrovskou nectnost, nastavování atributů souboru stejně jako FAT12 (disketa s MS-DOSem). Takže přistupovat mohl kdokoliv kamkoliv a pokud měl soubor náhodou atribut "read only", nikomu nic nebránilo prostě ten bit vynulovat a jelo se dál. Tam to bez aplikace třetí strany, která hlídala integritu binárek, jednoduše nešlo. A i v XPčkách si člověk musel "rozšířený práva" na NTFS ručně zapnout a nastavit, takže několik hodin drbání se se zabezpečením, který mělo být by default (pozdější widle nějak netuším, ty jsem používal jenom v práci a tam se o to lejno za mrzký peníz starali otroci z IT). A s takovým strojem se pak surfovalo po netu, hrály hry ve Flashi, stahovaly aplikace,... A 3x ročně se přeinstalovávalo, protože ani ten AV to nedal.

  • 13. 11. 2018 8:50

    igor (neregistrovaný) 78.102.8.---

    "Ne, vycházím z předpokladu, že pokud není člověk pitomec, snaží se neinstalovat bezhlavě kde co. A je lepší používat SW z garantovanýho zdroje, který má zájem o to, aby všechno fungovalo, než z náhodnýho zdroje."

    Chápu. V tom případě nejspíš máme jiné problémy, které chceme na počítači řešit a ty vaše 100% pokrývají "garantované zdroje". V tom případě samozřejmě váš názor naprosto chápu a přitom zároveň nedokáži aplikovat vaše argumenty na můj svět, kdy je mnohdy potřeba šáhnout po řešení, které ve 100% garantovaných zdrojích prostě není.

    "Náhodný zdroj je doména BFU na Windows. Stáhne program z Uložto, k tomu crack (binárka, která dělá kdoví co) a věříš, že tě AV ochrání. Když začne po spuštění cracku řvát AV, že něco přepisuje binárku, AV se prostě na chvíli zabije... Klasika."

    Což už je ještě trošku něco jiného, kdy si BFU vyloženě koleduje o průšvih.

    Já se celou dobu snažím psát o zdrojích "které by teoreticky měly být v pořádku, ale nevidím jediný důvod, proč si myslet, že jsou 100% garantovaně v pořádku". (Popravdě řečeno, já ten důvod nevidím ani u repositářů Ubuntu a Debianu - ale u nich jsem si sám pro sebe riziko zhodnotil jako jedno z nejmenších - a proto je používám.)

    "Ohledně "hodil by se" - nehodil by se. Linuxáci obvykle mají ve zvyku přemýšlet. Řešení s AV navíc má svoje pro a proti:"

    No, já se domnívám, že celá tato diskuze vychází z toho, že se snažím nad tím přemýšlet a vy mi dáváte argumenty, které já osobně vnímám a vidím jen částečné. Dávají mi smysl v určitém, omezeném kontextu, ale už ne v tom, který se snažím pokrývat od první otázky a od prvního mého příspěvku.

    Třeba tato vaše odpověď mne totálně mate: píšete "Ohledně "hodil by se" - nehodil by se.". Chápu to tak, že je to reakce na moje "no, vlastně by se klidně i hodil, ale riziko vyplývající z jeho použití je větší, než ochrana, kterou by poskytoval". A tedy celkově vaši odpověď chápu jako "není pravda, že "by se hodil, ale nevýhody jsou větší, než výhody" ".

    No a vzápětí uvedete "Řešení s AV navíc má svoje pro a proti: <seznam výhod a nevýhod>". Tuto část bych samostatně interpretoval "hodí se, ale má svoje nevýhody". V kontextu diskuze bych tu část interpretoval spíš jako "hodí se, ale nevýhody převažují nad výhodami". Ale v kontextu toho, že oponujete mému názoru, který popisoval přesně to, co jsem právě napsal, ani za mák nerozumím tomu, co se mi teď snažíte říct.

    Jinými slovy rozumím tomu tak, že "není pravda, že "by se hodil, ale nevýhody převažují nad výhodami", ale hodil by se, ale nevýhody převažují nad výhodami". Což je zjevně blbost, takže tomu zjevně nerozumím.

    "AV měl největší smysl na Win95 až WinME. FAT32 ..."

    A já bych k tomu ještě dodal, že druhým problémem je, že OS nijak nehlídal paměť v RAM a tedy bylo možné ji snadno proskenovat (najít hesla/klíče) a případně upravit (podstrčit cokoliv). (Disclaimer: toto tvrzení mám ze školy a nijak jsem je neověřoval.)

  • 13. 11. 2018 10:43

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Ale tady nikdo neřeší stoprocentní garanci. Pořád je možnost ukradení klíče, prodeje/předání projektu někomu jinýmu, nebo to, že se malware přidá až do verze 35.

    Jenom říkám, že antivir je jiná strategie ochrany, která je založená na jiným principu. Víš, jak funguje?
    - Sleduje změny v systému - tabulka hashů souborů atd. Potřebný výkon jejich vytvoření a kontrole, změna znamená kontrolu souboru
    - Hledání sekvence v kódu podle databáze (musíš mít úplnou a kompletní DB virů, a to se nikdy nestane)
    - Analýza chování programu - zavřeš do sandboxu a zkoušíš reakce. Tam musíš vědět, co hledáš. Je v pohodě, že obecná binárka hledá stroje v lokální DNS? Těžko říct, že, takže zase whitelist aplikací se standardním chováním, ... A je sranda rozeznat, co zrovna vyvádí uvnitř CPU, aniž by ten program viděl nestandardní chování?
    - Sledování komunikace v ostrým provozu. Tam musí vědět, co hledá. Máš obecnou binárku, z portu 35874 pošle na adresu, kterou dostal z DNS a port 1234, obecnou zprávu dlouhou 130B po TCP a vrátí se mu 5874B. Je to v pořádku? Jak to zjistíš? A jak to zjistíš, pokud aplikace navíc šifruje?

    Prostě je to iluze bezpečí. Sleduje něco a neví co. Hledá něco a neví co. Pokud si není jistý, pošle to k analýze a tam to dělá nějaký člověk. Co když je ta komunikace oprávněně utajovaná? Má ten člověk NDA nebo prověrku NBÚ?

  • 13. 11. 2018 11:46

    igor (neregistrovaný) 78.102.8.---

    Jinými slovy... antivirus je něco jako obchodník s deštěm? V tom případě jde o úplně jiný typ argumentu, než jsem doposud chápal a vůbec nejde o to, zda "Linux ne/potřebuje antivirus", ale je to o tom, zda "antivirus jako teoretický model je realizovatelný tak, aby byl prakticky užitečný (k něčemu jinému, než vyvolávání iluzí)"..?

    (Odpověď na vaši otázku: jak funguje antivirus vím jen velmi hrubě. A v podstatě jsem se v diskuzi zaměřoval především na jednu část jeho funkcionality - kontrola souborů v systému. Ono třeba s tou částí, kdy se odesílají soubory autorovi ke kontrole je něco, s čím ani nepočítám a svého času ve Windows jsem měl vždy vypnuté.)

  • 13. 11. 2018 14:41

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Kontrolu souborů v systému? Na to není potřeba antivir, stačí nastavit práva tak, aby zapisovat do adresářů, ze kterých se dá něco spustit, mohl jenom správce. A tam, kam může psát uživatel, zakázat spuštění.

    A pokud nevěřím kernelu, že funguje, nemůžu už v systému věřit vůbec ničemu, ani antiviru nad ním.

  • 13. 11. 2018 15:04

    igor (neregistrovaný) 78.102.8.---

    "Kontrolu souborů v systému? Na to není potřeba antivir, stačí nastavit práva tak, aby zapisovat do adresářů, ze kterých se dá něco spustit, mohl jenom správce. A tam, kam může psát uživatel, zakázat spuštění. A pokud nevěřím kernelu, že funguje, nemůžu už v systému věřit vůbec ničemu, ani antiviru nad ním."

    Takže ve chvíli, kdy se objeví nějaká zranitelnost (alá mnou již potřetí zmiňovaný heartbleed), aktualizuji, tak nemám jak zjistit, zda za tu krátkou chvíli (v případě heartbleed pouhou-pouhé 2 roky) se nikomu nepodařilo propašovat virus. Prostě jedeme dál, dokud to nějak drží a dělá co má..?

    (Mimochodem, na argument "jak mohu u napadeného systému očekávat, že AV nebude vyřazený" mám už rovnou automaticky protiargument ve formě live flashky.)

  • 13. 11. 2018 15:40

    k3dAR

    nesleduju co resite, jen takova vsuvka...
    muzes overit zda nejsou zmenene systemove soubory pomoci (v Ubuntu/Mint/Debian, resp. all DEB based) nastroje debsums, ten projede vsechny soubory v systemu (ne home) a porovna jejich MD5 s uvedenym od balicku (/var/lib/dpk­g/info/jmenoba­licku.md5), pokud bys predpokladal ze tyto soubory utocnik mohl zmenit, tak si nahodis liveusb a napises skript co by vzal instalovane balicky, stahl je a vytahl z nich md5 soubory, ty par porovnal s dostupnejma souborama v systemu, dalsi krok porovnat soubory ze vsech balicku s tim co mas v systemu, zda nejsou nektere navic, ty co sou bys prosel rucne (budou tam soubory i soubory co jsou v poradku, nejsou v balicku ale vytvori se pri jeho instalaci), jeste vyjimku md5 nesouhlasnejch muzou bejt soubory napr. v /etc ktere sis ty rucne zmenil a neodpovidaji distribucnim...

  • 13. 11. 2018 15:56

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Chyba nesouvisí s virem a virus nesouvisí s chybou.

    Pokud je nalezena chyba, před jejím zveřejněním dostane autor software nějaký čas na opravu, než jde na veřejnost. Takže když proletí v médiích, mám už většinou záplatu.

    Pokud přijdou útočníci na chybu a začnou ji zneužívat, musí najít celou řadu chyb. Můžeš vědět, jak se dostat do databáze, ale pokud je za firewallem, který neumíš prostřelit, je ti znalost chyby víš na co.

    A maximum průšvihů? Nad chybama v systému rozhodně vede sociální inženýrství (chceš vidět celebritu XY nahou? Stáhni si tuhle appku...), špatná konfigurace (ponechání default hesla, nezavřený port), špatná dokumentace (nikdo neví, jak to nastavit, tak se to nějak polepilo a zdá se, že to běží) apod.

    Osobně mám ze selhání jádra mnohem menší strach, než že nechám někde povolenýho hosta nebo podobnou blbinu. A na to by AV taky nepřišel. Jak má vědět, jestli je povolený uživatelský účet záměr, nebo chyba?

  • 13. 11. 2018 16:10

    igor (neregistrovaný) 78.102.8.---

    "Chyba nesouvisí s virem a virus nesouvisí s chybou."

    To já samozřejmě vím a moje pointa je v tom, že chyba umožňuje viru dostat se do systému.

    To, že sociální stránka věci je nejsnazší způsob, jak dostat virus (nebo obecně prolomit systém) vím taky.

    Já... se jenom snažím najít odpověď na otázku, co mne chrání, čím si mohu pomoci, když už se stane, že se mi virus do systému dostane - protože se to stát může a protože se to děje. Jediná věc, jediná odpověď, kterou mám je antivirus. Všechno, co mi neustále předkládáte jsou argumenty, proč je to těžké, ale to, že je to těžké pro mne není důvod, proč si myslet, že je antivirus zbytečný. Ty důvody mohou být jiné - např. jste mi vysvětlil (ale již nepotvrdit, zda to chápu správně), že antivirus je zbytečný proto, že skutečně funkční a bezpečný antivirus prostě neexistuje a není možné jej napsat.

    Ok, kašleme na chyby - zbytečně jsem se zaměřil na tento způsob propašování viru do PC. Fajn, uznávám, není možné využít chyb jako je heartbleed k propašování viru, není možné ho tam dostat jakoukoliv jinou cestou. Chápu, beru, uznávám, že GNU/Linux je 100% neprůstřelný a není tam možné žádný virus nijak dostat. Beru.

    Ale co ten případ, který jsem už milionkrát zmiňoval, kdy potřebuji vyřešit problém, na který neexistuje apka ve všespásných 100% neprůstřelných repositářích? Co když si potřebuji stáhnout apku ze zdroje "který by měl být teoreticky ok, ale nevěřím mu tak moc, jako repositářům distra"?

    Ano, tento příspěvek je hyperbola a není myšlen vážně. Nic takového, jako aplikace mimo repositáře distra totiž člověk nikdy nepotřebuje a nikdy nepotřeboval a nikdy potřebovat nebude.

  • 13. 11. 2018 16:16

    igor (neregistrovaný) 78.102.8.---

    Omlouvám se za můj předchozí příspěvek, trošku mi ujely nervy.

    Tímto bych chtěl naši diskuzi ukončit - byla zajímavá, zjistil jsem spousty nových a zajímavých věcí, ale zároveň upadl do deprese z uvědomění si, že jakmile budu potřebovat použít apku mimo repositáře mého distra (a že jich je cca 5, které potřebuji plus nějaké ty hry, které bych si chtěl zahrát), tak neexistuje způsob, jak se před nimi bránit a jak detekovat, že dělají něco jiného, než tvrdí a jak před nimi chránit systém (i když je nebudu spouštět jako root, tak celkem často se musím roota používat; nevidím důvod, proč by mi pak škodlivá apka nemohla nahradit spouštěč terminálu - který je uložen v /home/xyz/.con­fig/... - za vlastní, který si heslo v klidu přečte).

  • 15. 11. 2018 12:51

    Petr (neregistrovaný) ---.justice.cz

    Neni to tak beznadejne Igore.
    Tip na debsums si dostal, defakto je to takovy auditovaci sw. Tedy pokud prijmes tihu duvery v distoinzenyry.
    Dale doporucuji jeste podivat se na Apparmor (ten alespon roste v ubuntu like distros ), je to presne ten nastroj ktery muze krotit aplikace aby si nedelaly co se jim zlibi - napr. aby neposilaly seznamy tech her, co zminujes - proste proto ze napriklad do tech adresaru neuvidi...
    AV reseni - nic ti nebrani jej pouzit, ovsem jeho smysl osobne spatruji spise v mail serverech apod... A jeho dopad na bezpecnost GNU/Linuxu vnimam spise jako maly, v kontextu co ziska a ztratim jeho pouzitim.
    Preji Ti hezky den a diky za vyvolanou diskusi
    Petr

  • 12. 11. 2018 14:12

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Btw, OSS antivir z principu existovat nemůže, a to hned z několika důvodů - nemáš k dispozici několik top lidí z oboru 24/7 na zpracování aktuálních problémů (nebo znáš nějaký způsob, jak je platit z milodarů? ) a open source znamená, že blackhat vidí v reálným čase, co se na něho chystá a než proběhnou testy a release, c&c mají instrukce, jak to obejít.

  • 12. 11. 2018 8:52

    TM (neregistrovaný) ---.fnol.cz

    nakonec zbude jako jediný účinný nástroj na odhalování těžařského malware externí ampérmetr. Nárůst odběru proudu tak zůstane jako jediný nezávislý marker

  • 12. 11. 2018 11:11

    \neq (neregistrovaný) 78.102.8.---

    Dokud nenahradí běžné ampérmetry nějakým sofistikovaným zařízením s Androidem.

  • 12. 11. 2018 9:30

    singerko (neregistrovaný) ---.dynamic.chello.sk

    Toto ma dost zaujima, pretoze cez vikend som si na mojej FC28 vsimol jednu zaujimavu vec. Jeno jadro bezi na 100%. Cez htop som videl najviac zatazovany procez tilix (asi na 8%) a potom uz tam boli iba nejake 1 a 0.nieco percenta. Takze ocividne ziadny proces to jadro na 100% nezatazoval (ani sumarne). Prikaz top ukazoval zatazenie 100% pre kworker (co je nejaky thread v jadre). Celkovo som nevedel zistit, kto robi danu zataz. Nemate navrh na identifikaciu, ked sa to stane znova?
    Spusteny som naviac mal tilix, tor a firefox. Zataz ostala rovnaka aj ked som dane aplikacie ukoncil a neboli uz ani v process liste.

  • 12. 11. 2018 12:05

    lol2 (neregistrovaný) 195.212.58.---

    Moze byt, tiez tam mam vysoky cpu load u kworker

    top - 12:01:15 up 44 days,  2:41,  1 user,  load average: 1,08, 1,05, 1,02
    Tasks: 189 total,   1 running, 188 sleeping,   0 stopped,   0 zombie
    %Cpu0  :  3,2 us,  4,9 sy,  0,0 ni, 89,6 id,  0,0 wa,  0,0 hi,  2,3 si,  0,0 st
    %Cpu1  :  1,0 us, 60,3 sy,  0,0 ni, 38,7 id,  0,0 wa,  0,0 hi,  0,0 si,  0,0 st
    KiB Mem :  3929540 total,   903296 free,  2043436 used,   982808 buff/cache
    KiB Swap:  2097148 total,  2096124 free,     1024 used.  1511204 avail Mem
    
      PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
    18122 root      20   0       0      0      0 S  30,6  0,0   2:23.24 kworker/1:9
    18139 root      20   0       0      0      0 S  11,3  0,0   0:23.34 kworker/1:7
    11327 root      20   0  0,273t 1,014g 844340 S   6,6 27,1   1590:36 ethminer
     3133 root      20   0  0,105t 210024 166024 S   3,7  5,3   2173:56 zecminer

    Len je tam 12 GPU :)

  • 12. 11. 2018 10:35

    A.S. Pergill (neregistrovaný) ---.med.muni.cz

    Zcela hloupý BFU dotaz:
    Když se ví, že na počítači něco takového běží, nedalo by se do toho procesu cíleně zasáhnout tak, aby to "těžitele" poškodilo, třeba odesláním nějakých nesmyslů?

  • 12. 11. 2018 12:09

    lol2 (neregistrovaný) 195.212.58.---

    ziskavanie tokenov raw tazbou je system proof of work - ak aj posles nezmysel, ostatne nody vypocitaju spravne vysledky, tie rychlo prevazia nad tvojim, tvoj sa zahodi a akurat si minul energiu na nic.

  • 12. 11. 2018 12:41

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    A jak útočník ví, že doopravdy počítá? Pokud je vygenerování náhodné odpovědi na 1% load během 10s vydrží z toho žít hodinu, tak on ušetří, útočník má pocit, že mu všechno funguje...

  • 12. 11. 2018 14:23

    lol2 (neregistrovaný) 195.212.58.---

    ale co tym ziskas? stale je to stale tvoj waste, pretoze ten miner tazi monero cez pool, takze nemas ako poskodit utocnika. Niekde v statistikach v kolonke Status mu bude na riadku 54235 svietit cervenym "rejected by pool". Aj ked nic nevypocitas a posles tam hlupost, tak su to nejake tvoje resourcy a zbytocne beziaci daemon/cron job

  • 12. 11. 2018 16:20

    LDASCZ (neregistrovaný) ---.eurotel.cz

    Lidé co ten mining mají tak buď neví o něm vůbec, nebo neřeší. Pak jsou tu ti, co to řeší nějakým vymazáním, kdybys ty dal výpočet špatný tak útočník to ani nepocítí a možná se zasměje kdyby tvé řešení/neřešení viděl. Byl bys možná 0,001% z celé jeho těžby takže vlastně k ničemu a stále bys ničil přírodu ještě víc jak kdybys z toho něco měl ty či on.

  • 12. 11. 2018 15:13

    unicode (neregistrovaný) 194.228.79.---

    To by chtělo nastudovat jak funguje mining pool a protokoly co používá (např. stratum), protože podle mě žádný pool si nenechá posílat špatné výsledky dlouhodobě a dočasně může takové klienty odpojit. Na druhou stranu pokud by to někdo dělal úmyslně, tak je pravda, že si bude vlastně škodit sám sobě - pool to nijak nepocítí a autor malware taky ne, protože jeho HW to není.

  • 13. 11. 2018 6:10

    Lieselotte (neregistrovaný) 194.228.68.---

    On to vůbec není hloupý nápad. Představte si, že tohle uděláte masově. Klidně tak, že použijete "jejich" nástroje v podobě kohorty nějakých zombií, prostě typický botnet. To by vyústilo v celkem běžný masivní DDoS, což by v závěru byla celkem prdel. Různých nezabezpečených routerů, kamer, podobných sr.* jsou na netu mraky a občas se to použije na přetížení něčeho někde. Pokud bude mít těžař pár nekorektních odpovědí, nestane se vůbec nic, ale pokud jich bude mít 99.9%, je totálně v prdeli. A nereálné to není. Totiž nagenerovat náhodný blok je řádově rychlejší, přičemž těch napadnutelných strojů v botnetu může být daleko víc, než těch, které napadl těžař. A protože já těžařům a kryptoměnám tak nějak z principu velice ráda ubližuji... Ten nápad je prostě dokonalý.

  • 13. 11. 2018 7:46

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Tak tak, pokud na stroji korektní výpočet bude za hodinu a náhodný data za sekundu, tak pokud během té hodiny vygeneruju 100 dávek náhodných dat, já ušetřím a on dostane nevalidní data. Pokud napadne třeba 10k strojů a dostane z nich za hodinu 5k validních a 500k nesmyslů, tak je v ... a končí. Všichni jsou spokojení, teda až na toho lumpa. Ani ne 0,2% validních výsledků je hodně blbý výsledek... ;)