Параноидальные байки

Итак, дорогие мои юзверята, открываю интересную тему специально для тех, кто очень любит прятать всё от всех, да и сам обожает быть незамеченным.

Для затравки - моя первая байка. А вы тоже подтягивайтесь, пишите свои идеи и, если можете, методы их реализации.

Как известно, взломоустойчивость системы безопасности можно серьезно повысить тем, что просто напросто скрыть от всех, какая система безопасности у тебя установлена. или изменить название.

Например, стоит у вас камод, а вы всем говорите что у вас стоит аутпост очень хорошо - глупый хакер будет искать эксплоиты для аутпоста, и даже найдя их, будет рвать волосы на заднице от злости, безуспешно пытаясь проникнуть в вашу систему со своим эксплоитом.

Или вообще сделайте удивленное лицо дауна, пустив слюну - “а что такое фаервоооол?”.

Так вот. То самое лицо дауна вы будете тренироваться делать сами, а как сурово спрятать камод в системе, научу вас я.

Для начала стоит установить камод куда подальше от стандартных папок с программами. Это вы сделаете без проблем, надо только при установке подыскать себе в системе папочку неприметную, да еще и в таком месте, где подобных папок море. Очень хорош для этого каталог Windows/system32.
Об этом чуточку попозже. Текст пока не дописал

Ну а сейчас вот о том, как спрятать доступ к настройкам служб камода.

Это я сделал через реестр.

тут - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
есть ключ “COMODO Internet Security”, который надо грохнуть, как многие на этом форуме уже знают. этот ключ запускает GUI интерфейс камода при старте вендов. сам же Comodo при этом будет чувствовать себя так же хорошо как и прежде.

Всего у нашего камода я насчитал четыре службы, и расположены они в реестре в ветках:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdAgent]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdHlp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdGuard]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Inspect]

Ключи, которые нам надо будет поменять, у всех четырех служб одинаковые. Опишу их для одной службы, чтобы было понятно что мы меняем.

“Description”=“Драйвер шины PCI”
сюда вписываем любое название якобы какойнибудь полезной вендовой службы. на самом деле тут было “COMODO Internet Security Helper Service”, и увидеть эту службу вы могли в Панели управления - Администрирование - Службы. это ТО, что нам и надо!

“DisplayName”=-
это описание службы. стираем, т.к. системные службы венды по большей части не имеют описания. и найти камод в реестре через поиск уже будет сложнее.

“Type”=dword:00000001
а тут мы скрываем службу фаервола из списка в Панели управления - Администрирование - Службы. теперь чтобы отключить или изменить параметры службы, уже придется изрядно поковыряться в реестре. еще одно ТО, что нам и надо!

“FailureActions”=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,55,00,4e,\
00,01,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00
эта строка описывает действие компьютера при сбое службы. для дополнительной безопасности будет - “перезапуск службы через 0 сек после сбоя”.
для справки - почти все службы в винде не настроены на автоперезапуск при сбое.

Всё эти изменения сделает файл который я приложил. После его импортирования, надо сделать ребут.

Это пока первый шаг. Надо еще удалить все ярлыки к камоду с рабочего стола, и из Пуска, настроить в камоде правила для всех рабочих приложений, чтобы небыло затыков в работе. Стоит также помнить, что в реестре всеравно остаются пути к нашему горячообожаемому файеру. а в этих путях встречается слово “Comodo”, так что если захотеть, то через поиск всеравно можно будет найти эти службы. Как это исправить, я расскажу в следующий раз.

[attachment deleted by admin]

От души развеселили (:LGH)

А теперь ответьте на три простых вопроса:

1. Каким образом злоумышленник проникнет в систему?
2. Каким образом он получит необходимые права в системе?
3. Ну и наконец, с какой целью доброму хакеру понадобиться проникать в машину простого пользователя?

Дайте мне хоть один рабочий эксплойт на комод)) Очень хочу протестировать (:TNG)

Чисто теоретически - превентивная защита от эксплоитов нужна.
Гипотетический случай - нашли уязвимость, сделали эксплоит и тепреь будут долбить в ещё не апдейченый файер.
Способ проникновения - да даже через уязвимости других продуктов. Не зря хакеры так любят устраивать “засады” в контексте системных служб. Ведь известно, что ряд вирусов и эксплоитов под IE использовали его привилегии для попытки блокировки целого спектра распространённых антивирусов. Сможет ли обеспечить 100% защиту COMODO - вопрос тестирования =)
Параноидальные байки - не зря так назван топик. Можно доходить до абсурда, но это вопрос личных убеждений пользователей.
В своё время баловался взломом serv-u ftp. Через него вполне открывал шелл на портах > 1024, поскольку для файеров (Касп, Sygate, outpost, etc) это было легальное приложение и в его контексте и выполнялся доступ.

Так что это всё не глупости, а именно превентивное средство борьбы.

Да, действительно, все что соединяеться с интернетом - уже источник уязвимости.
Спрятать фаерволл с целью защиты от деактивации, инжектов и прочей заразы - это весьма превентивная мера, однако в большинстве атакам подвергаются не сами фаерволлы а вполне легитимные процессы.

Вообще тут возникают различные мысли:

1)Допустим хакер получит доступ через легитимное приложение, увидит фаерволл, но врядли он станет отключать его. Скорее всего он постараться сделать лазейку для дальнейших проникновений.

2. Допустим задача хакера устроить локальный отказ от обслуживания - он уронит фаерволл. Но эта задача не для индивидуального хакера, а для распространения эпидемии локальных ДОСов.

3)Если он задумает сделать из компьютера бот, то он это сделает, независимо от того, распознает ли он фаерволл или нет. Недолго думая он обнаружит наличие того же самого браузера или другого легитимного приложения. Забросит заразу, внедряющуюся в легитимный процесс. Тогда придется прятать и их…

4)Ну и наконец, если он уже проник в систему - поверьте, все кончено - дальше дело фантазии и умения.

В любом случае вопрос пароноидальности - вопрос индивидуального воспиятия политики безопасности.

AlexDol, извиняюсь за оффтоп. :■■■■

1. Сделать лазейку проще отключив файер (чтоб не путался) и уж тогда развернуть полную сетевую деятельность по установке дальнейшего ПО. Зачастую доступ к шеллу - это предел незаметности, далее (при работающих системах защиты) бывает оооочень трудно пройти.

2. Уроненный файер позволяет провести массированный залив стороннего ПО, которое может и модифицировать правила для файера (чтоб после рестарта не спалиться), особенно если файер уже распознан.

3. Опять-таки, для лучшей маскировки - необходимо сделать вид что ты тут и был всегда и вообще ты белый и пушистый. Для этого и необходимо временно деактивировать файер. Если же взять под полный прицел стадартные места расположения, то быстрее выявишь даже попытку деактивации.

4. Степень проникновения в систему бывает ооочень различной. И далеко не всегда можно прям вот так сразу дел наворотить, не отключив охранные контуры. Как говориться, мало незаметно залезть - надо ещё сделать свою работу и не менее незаметно вылезти. Когда враг известен, проще его обходить, чем тыкаться в слепую.

нате

Results 1 - 10 of about 98 from securityvulns.ru for comodo. (0.30 seconds)

1. ну вы же не маленький, сами могли придумать кучу вполне реальных сценариев. к чему вообще такой вопрос?
   Пока вы на ковре у босса, подошел человек к вашему компу и сел за него. всё, проник. вы же забыли заблокировать систему, второпях убегая к боссу и думая за что он вас сейчас будет дрючить.
   Или друг из домашней сети, пришел к вам попить кофе. неужели вы блокируете свою тачку ДОМА, АА??? :)))

2. в ссылке, которую я только что дал всё есть.
   Вцелом, народ в венде оооччень любит работать в системе с правами админа.

3. для многого иначе бы вы сами до сих пор не знали что такое фаервол.

Я, кстати, так и не понимаю, для чего нынешние сигналки для авто поставляются с большой красочной наклейкой на лобовуху с логотипом изготовителя, которую все непременно лепят туда. O0

Надо всё-таки больше думать о социальной инженерии, нежели бояться и ждать атаки снаружи, от какогото незнакомого хакера Васи Косорукого.
Да никто вашу тачку не будет ломать через всякие порты и эксплоиты. разве что тачка вообще без фаера голой жопой в интернет высунута. тут и говорить нечего

Дело в другом - в физическом доступе к вашему компу, либо пока вы отсутствуете, либо обманывая вас в вашем же присутствии. Сколько раз вас ломали удаленно за этот год? ноль? ноль раз! максимум - сканили.
а сколько раз вы огрызались на тех кто подходил к вашему компу? я, например, даже цифру “сто” не скажу. двести!

потому что гораздо эффективнее будет выманить вас из берлоги, и на флешке унести вашу инфу (делов то на одну минуту), или открыть форточку и потом уже удаленно иметь вас через неё.

Как это по нашему - кругом враги …и чем ближе , тем больше
Способ интересный , но известный дезинформировать злодея - пусть попотеет !Так ему !
Вообще то, есть способ простой - посадить на горячие клавиши запор компа и открывать через пасс …
Alex, давай дальше , что там ещё у тебя …интересно

интересного дофига (:HUG)
если я тут все расскажу, вы сочтёте меня параноиком.
а я всеголишь помешаный на безопасности.

как сегодня на баше было:

xxx: Все! В следующий раз, когда повезу крупную сумму, достану все купюры и продемонстрирую окружающим. yyy: Зачем ххх: Чтобы было хоть какое-то основание для моей паранойи.

Параноидальная байка о защите конфиденциальности и обеспечении приватности ;D

Собственный локальный прокси-сервер за фаерволлом

Прячу за фаерволлом локальный прокси сервер. Удобно, полезно да и вплане безопасности повышаються шансы.

Все соединения в системе идут через прокси. Там можно писать свой список правил для того же браузера, всячески извращаясь с ситемой заголовков того же пресловутого браузера.
Можно ограничить проникновение скриптов, апплетов и других неприятных опасностей.
Допустим браузер ловит скрипт, где происходит утечка данных - в прокси сервере вы это увидите и забаните. В результате браузер просто проглотит запрос но ничего никуда не пойдет.
Разумееться для довереных сайтов прокси откроет зеленый свет.

К тому же там можно блокировать кучу мусора по ключевым словам, вести черный список сайтов, включить переадресацию, кэширование и т.п.
Прокси сервер вапще очень удобная весчь - вы обладаете большой свободой в отношении того что пропустить через него, а что нет. (реклама, шпионаж гугла, счетчики и проч.) Он обеспечит некоторую приватность и защиту в сети.

Прячем браузер и операционную систему.

Полезно и спрятать сам браузер и версию операционной системы - например для Мозиллы имееться плагин - User agent switcher.
Издеваемся над админами сайтов - пишем туда например, Satana Brouser. Операционная система - My private system т.п ересь (:WIN)

Собственная локальная таблица соответствия IP\MAC адресов с помощью комода.

Предназначена для того чтобы хитрый хакер сломал голову об ваши правила. Берем сниффер и изучаем свой трафик. Затем создаем хитрые глобальные правила, разрешающие четкие и конкретные соединения только с устройствами сети по МАС адресам (например шлюзом, маршрутизатором, DNS сервером и т.д)

Все пакеты, имеющие несоответсвие правилам, отбрасываються - это обеспечивает блокировку огромного колличества мусора, идущего на вашу машину. Кроме того, вы будете иметь дело только с полезным трафиком между вашим шлюзом и вами. Все остальное - мусор и флуд. (Полезно прописать маки в GR для этого)

Опасность существует только в вашем сегменте сети - если например ваш добрый “сосед” решит украсть ваш MAC. Но эта вероятность мала - можно придти и дать по голове или звякнуть админу и представить логи сетевых устройств, оборудованных снифферами.
Если у вас будут четкие правила по МАСам, то есть гарантия того, что придется сначала поизвращаться с этими устройствами, прежде чем проникнуть в вашу систему.

Собственный локальный DNS сервер

Удобно, поскольку провайдер довольно часто страдает болезнью “недоступности” своего dn. Происходит это по разным причинам, в том числе и в результате деятельности кульхацкеров. В результате вам перекрывают интернет.
Кэшируя записи, вы сможете при желании быть на связи с большинством ваших часто посещаемых ресурсов.

Альтернативные DNS

Проект http://www.opendns.com/ дает возможность использовать дополнительные DNS вместо вашего провайдера. Это защитит вас от подмены самого сервера, защиты от атак, недоступности и т.п.
Создаем в сетевых настройках и в комоде зоны таких адресов - и радуемся.

Извините, старенько все это и бородатенько…

Попробовал например с правами админа обойти парольную защиту фаера с помощью BTP00001P005C. Не вышло.

Пофиксили уже давно (лохматый 2007 и версия ниже тройки (:HUG))

Ну и что? многие неондартальцы еще в 98 ??? виндах живут по сей день. хотя бы потому что железо настолько старое, что ничего выше 98 виндов и не встает, а выкинуть тачку жалко.
там так вообще много чего не пофиксено.

Спасибо Maharadji1983 !
Будем осваивать новые технологии…только боюсь хакеры потеряют ко мне всякий интерес

Топикстартер-спасибо! Подняли настроение.
А вообще это не паранойя а здравый смысл.

Дополнительные возможности скрыть браузер(фаерфокс): чтобы не ставить плагины-можно попользовать about:config

Наберите about:config в адресной строке и нажмите Enter. появятся скрытые настройки браузера, используем поисковое поле и находим:
general.useragent.extra.firefox и изменяем её параметр на нужный
general.useragent.override (идентификатор браузера)
general.useragent.vendor (браузер)
general.useragent.vendorSub (версия браузера)
изменяем на свои значения. Очень полезно если на зараженном сайте скрипт для автоматизации последовательного подбора эксплойта под браузер.

Извините, а какие нужные параметры ставить? Вы бы хоть пример привели. А идентификатор какой?
И еще вопрос, а если мой Фокс через прокси-сервера выходит в инет, как это отразится на настройках?

Инструменты>настройки>дополнительно>сеть>настроить - пишем туда прокси и порт.

пожалуйста

короче, я разобрался что и где надо рисовать чтобы нае обмануть зловреда:
сначала смотрим тут: Документирование настроек Gecko-программ (MozillaSuite/SeaMonkey, Firefox, Thunderbird, NVU) это описания настроек в абаут:конфиге.
затем отсюда User agent — Википедия выбираем любую понравившуюся строчку, например Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412 (KHTML, like Gecko) Safari/412, создаем в about:config новый строковой параметр general.useragent.override и вставляем выбранную строчку туда.
все. за 20 секунд имеем нахаляву комп макинтош с модным браузером Сафари

враг не пройдет. не потому что собъется с толку, а потому что от зависти сдохнет :BNC

Что то с about:config фокус не прошел у меня …
Поменял данные , как задумано было , потом пошел по ссылке GRC | ShieldsUP! — Internet Vulnerability Profiling  
далее browser headers , чтобы почитать. что пишет пресса о моем браузере :
все гадости ,что я там понаписал все высветилось - хорошо
Закрыл браузер , открыл - все вернулось на дефолт - опять лиса ,только версия в
general.useragent.extra.firefox изменненая осталась
А вот с плагином работает , только каждый раз надо включать после запуска фокса , зато
вариантов куча и меняет на лету - пиши , что хочешь