interaktivní firewall

[Pavel Kankovsky]

On Fri, 21 Jun 2002, Michal Hajek wrote:

> > BzF wrote:
> > 
> >> (Rady typu neinstalovat programy o kterých nevím kam se chtějí
> >> připojovat/od nichž nemám zdrojáky prosím ne. děkuji.)

> S tim bych tak uplne nesouhlasil. Mnoho lidi propaguje Linux na
> desktopy/home stanice a u nich proste pri praci nekdo sedi.
[...]
> by snad problem nebyl.

Udelat se da leccos. Otazka je, jestli to ma valny smysl.

Puvodni tazatel si to zrejme predstavoval tak, ze bude schopen spoustet
uplne cokoli, ale protoze bude rucne potvrzovat, zda se dany program smi
nekam pripojit, tak to bude "bezpecne". (*)

Jenze je to mnohem slozitejsi, nez se nam snazi naznacit marketingova
oddeleni vyrobcu "personalnich firewallu". Spusteny "zly program" se
vubec nemusi pokouset s nekym venku spojit, protoze muze skodit lokalne
v ramci uzivatelskeho uctu, pod kterym byl spusten, a specialne muze
nasadit "parazita" do jineho procesu a svou komunikaci provadet pres ten
jiny proces. Nebo dokonce muze vyuzit toho, ze komunikacni kanal mezi
personalnim fw a uzivatelem vetsinou neni duveryhodny (tj. neni to
tzv. trusted path (**)) a zly program muze proste v nestrezenem okamziku
odsimulovat zmacknuti patricneho "Ok".

Cili ve skutecnosti je potreba neduveryhodne programy zavrit do poradne
klece a hlidat vsechny vychody. Takovych kleci existuje vetsi mnozstvi,
podminku interaktivity specialne splnuje to, co Pavel Machek dodelal
do Subterfugue (musim to propagovat, kdyz jsem mu delal vedouciho <g>).

(*) Me se vubec libi vsechny ty naivni predstavy o bezpecnosti rozsirene
mezi prostym lidem (a obcas i nekterymi tzv. odborniky).

(**) Ironicke je, ze MS Windows >= NT TP sice tak nejak maji, ale ty
personalni fw, co jsem videl, ji stejne nepouzivaji.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."