3 авг. 2012 г.

Безопасный интернет (рецепт от вирусов)

Добрый день.

Эту заметку о том, как начать перемещаться по интернету, почти не рискуя подхватить заразу, я хотел назвать «Сейф в танке», но потом понял, что название должно соответствовать сути (идее простой организации безопасного сёрфинга в сети), а не реализации (хранения ценных вещей в сейфе, находящемся в активно отстреливающемся танке).

Про отключение автоматического запуска вирусов с USB-устройств мы уже давно говорили. Сейчас же давайте перейдём к самому активному каналу распространения вирусов — интернету.

Первую часть о том, что бывают компьютерные вирусы, уязвимости браузеров и операционных систем, exploit packs, человеческая глупость и т.д. мы пропустим, потому что это и так все знают.

Вторая часть состоит из трёх абзацев, рассказывающих с разных сторон о том, что очень легко иметь иллюзию защищённости (и с пеной у рта доказывать, что это не иллюзия, а именно защищённость). Если у вас таких иллюзий нет, то можете смело переходить к третьей части.

Во-первых, многие наивно думают, что если у них установлен Касперский/DrWeb/NOD32/Avira/.../Outpost/AtGuard/..., а кроме того регулярно обновляются операционная система, антивирусные базы, браузер и флешовый плагин, то они защищены. Конечно, это не так. Антивирусы и firewall'ы при правильной настройке могут уберечь от многих угроз. Но странно надеяться, что они гарантируют полную безопасность.

Во-вторых, загляните на страницы сервисов проверки актуальности своих браузеров и плагинов: SurfPatrol и QualysBrowserCheck. Многие в этот момент неожиданно для себя выяснят, что хоть браузер регулярно и обновлялся, хоть флешовый плагин периодически и «вылезал красным прямоугольником» (и тоже обновлялся), но в системе установлено ещё несколько опасных плагинов (старые версии просмотрщиков PDF, всякая JAVA и т.д., про уязвимости которых уже давно известно, но они автоматически не обновляются). Это должно хоть чуть-чуть снизить самоувернность самых самоуверенных (и послужить поводом для удаления неиспользуемых или обновления нужных плагинов, чтобы закрыть хотя бы явные дыры).

В-третьих, некоторые считают, что если они «всегда работают под пользователем с урезанными правами, а не под администратором», то им ничего не грозит. Опять же, легко найти в сети массу статей про очередные закрытия уязвимостей, позволяющих повышать права до администраторских (а это наводит на мысль, что могут быть ещё не обнаруженные уязвимости). Другими словами, обязательно стоит работать с ограниченными правами, чтобы, если случайно будет запущено что-то опасное, оно с гораздо меньшей вероятностью поразило всю систему. Но это не панацея. Это как антивирус — почти всегда лучше с ним, чем без него. Но он не гарантирует полную защиту, а лишь закрывает от некоторых известных проблем.

Переходим к третьей части. Хватит этих банальных страшилок! Давайте посмотрим на рецепт безопасного сёрфинга в сети от Ильи Весеннего:

1. Выключите все электронные приборы и никому не позволяйте их включать.

Нет, не так. Это, конечно, тоже сработает в большинстве случаев, но есть кое-что более эффективное (в том смысле, что следующее решение позволит пользоваться интернетом).

1. Установите бесплатный VirtualBox (или любую другую систему виртуализации, которая вам нравится). Это просто — скачайте несколько десятков мегабайт с сайта производителя и установите программу (есть версии под Windows, Linux, OS X и Solaris). Там уже давно всё переведено на русский язык, поэтому разобраться с установкой и настройкой сможет каждый.

2. Есть как минимум два варианта:
  2.1 Если вам хочется попробовать мой рецепт, то скачайте лёгкий «BrowserLinux 501» (или образ любого другого liveCD linux, который содержит браузер, Flash, PDF-reader и что вам ещё нужно в интернете). Это просто — скачайте с сайта производителя 93 мегабайта.

  2.2 Если вам хочется более свежий браузер, поддержку хитрых видео-кодеков, установленную Google Picasa и ещё вагон всего, то скачайте образ EasyPeasy (он потяжелее, но и содержит больше).

(в любом случае, вы всегда сможете сменить систему на ту, которая вам больше нравится, я лишь предложил попробовать два довольно крайних варианта)

3. Запустите VirtualBox, создайте виртуальную машину, которой:
а) можно ходить в интернет (надо разрешить сетевые карты),
б) у которой отсутствует жёсткий диск и есть разумное количество оперативной памяти (если возможно, то хотя бы 300-500 мегабайт стоит выделить),
в) в CD-приводе у неё iso-файл, который вы скачали в пункте 2.

4. Включите созданную виртуальную машину. Как только система загрузится, убедитесь, что её браузер работает, youtube-ролики в нём не тормозят, pdf-файлы открываются и т.д. Всё должно быть хорошо. В этот момент можно возрадоваться: если вдруг в этой внутренней системе произойдёт сбой, какой-то коварный вирус с посещённого сайта воспользуется уязвимостью, то он заразит только внутреннюю систему [1]. А поскольку состояние внутренней системы мы не сохраняем (в любой момент можем выключить её, а потом заново запустить с неизменного iso-образа), то и излечение произойдёт автоматически.

5. Чтобы было удобнее, я делаю так: один раз загружаюсь в виртуальной системе с образа, настраиваю всё под себя, делаю «точку восстановления» (фактически, сохраняю состояние оперативной памяти виртуальной машины на диск физической машины). А потом, когда надо выйти в интернет, запускаю с этого самого состояния. Это позволяет в любой момент почти мгновенно вернуться в удобное стартовое состояние системы. Опять же, вирусы нас не волнуют [1], т.к. каждый раз мы запускаем систему из этого чистого состояния.

Именно таким образом я настраиваю компьютеры своим знакомым, которые ранее ловили win-locker'ов, sms-вымогателей денег за вход во вконтакте/одноклассники, фейковые обновления браузера и так далее. Теперь у таких людей на рабочем столе лежит ярлык с привычной синей буквой «e», который запускает VirtualBox с линуксом. Да, мне пришлось их чуть-чуть научить с этим управляться. Но теперь они достаточно надёжно защищены от интернет-вирусов, так как всегда ходят по сети только внутри виртуальной машины. Во всяком случае, никто ещё не смог словить заразу.

Теперь, когда вы знаете, как радикально снизить риски заражения при прогулках по интернету, поделитесь со своими знакомыми ссылкой http://my-tribune.blogspot.com/2012/08/safe-browsing.html на этот рецепт. Пусть они тоже забудут про проблемы с вирусами.

Сноска [1]: Да, мы должны понимать, что есть риск, что подхваченный вирус не только сможет определить, что исполняется внутри виртуальной системы, но и будет знать какую-то уязвимость этой системы, что позволит ему вылезти наружу в родительскую систему (прямо как в фильме «Тринадцатый этаж», про который мы тоже говорили). Упоминаний о таких случаях я не смог найти, но теоретически такое возможно.

Поэтому всякие ответственные вещи (например, операции с финансами) следует делать на отдельном компьютере (можно купить старый ноутбук за пару тысяч рублей), спрятанным от внешних атак за firewall-ом, с которого посещается только сайт банка (т.е. firewall позволяет проходить на этот компьютер только пакетам от банка, блокируя все остальные). Это не панацея, но вероятность потерять деньги по вине вирусописателей падает на многие порядки.

В чём минусы этого подхода:
  • Требуется больше процессорных ресурсов (но при современной мощи компьютеров это незаметно).
  • Чуть сложнее обмениваться файлами с родительской системой (надо соблюдать правила безопасности, которые мы обсудим в комментариях и в одной из следующих заметок).
  • Возникает чувство уверенности и защищённости, что может легко привести к глупому действию. А ведь вирус в систему можно получить не только через браузер!

А плюсы уже перечислены выше: можно заходить на сколь угодно завирусованный сайт (а это иногда приходится делать при поиске редких материалов), точно зная, что всё заражение произойдёт в виртуальной системе, которой скоро не станет, так как будет сделано восстановление из чистого состояния. Если раньше были все основания опасаться за чистоту компьютера, когда в гости приходили племяшки, то сейчас им можно создать отдельный виртуальный полигон, который не может быть жалко.

А как вы сами спасаетесь от интернет-угроз? Как настроили интернет своим родителям?

Безопасного интернета и хорошего дня!

55 комментариев:

  1. Ответы
    1. Linux - прекрасная система. Именно по этой причине я рекомендую в этой заметке использовать именно его для путешествий по интернету.

      Но надо понимать, что и в нём есть уязвимости. По запросу "уязвимость в linux" первая же ссылка http://www.opennet.ru/opennews/art.shtml?num=32872 рассказывает о закрытии очередной уязвимости в ядре, которая позволяла кому попало делать что угодно. Повторюсь, Linux - это прекрасная система. Ещё несколько лет назад она не была интересна вирусописателям из-за своей малой популярности (в этом состоял один из секретов её безопасности). Сейчас же существует масса охотников и на Linux, и на Mac.

      Можно пользоваться Linux, чтобы снизить вероятность заражения вирусом. Но странно надеяться, что это панацея.

      Удалить
  2. > А как вы сами спасаетесь от интернет-угроз?

    У меня линукс установлен на самом компьютере, а не в виртуалке. Таким образом я экономлю ресурсы процессора, да и удобнее, чем в виртуалке.

    ОтветитьУдалить
    Ответы
    1. Мне тоже очень нравится Linux. Но я думаю, что на каждого, кто считает, что одного его достаточно для безопасного сёрфинга, я смогу находить описание очередной закрытой уязвимости, позволяющей кому попало получать права администратора. Благо, искать легко - http://www.securitylab.ru/news/396888.php ("Проблема находилась в связке "ядро - графический X-сервер". За счет использования определенных команд и запросов, через Х-сервер можно было получить администраторский доступ к ОС")

      Удалить
  3. Анонимный03.08.2012, 10:56

    Не лазаю где ни попадя.

    ОтветитьУдалить
    Ответы
    1. Но ведь иногда взламывают и большие серьёзные сайты. Да и, казалось бы, безопасное дело - почитать ЖЖ на ночь глядя, может обернуться проблемами, если кто-то разместил в своём посте картинки, сохранённые на серверах неудачного фото-сервиса (см. http://habrahabr.ru/post/144819/).

      Удалить
    2. Анонимный03.08.2012, 14:58

      В общем-то, вы правы, но, по моим наблюдениям, наиболее часто вирусы попадают на машину при установке игрушек (программок), скачанных с сомнительных ресурсов, а от этого защищает только здравый смысл и антивирус.

      Удалить
  4. > SurfPatrol и QualysBrowserCheck
    Про Unity, например, оба не знают, возможно и про другие плагины тоже.

    Ну а что до вашего способа, то от варианта «человеческая глупость» не очень защищает. Скачать и установить затрояненный файл пользователь всё равно может.
    Или вы не даёте возможности скачивать файлы в расшаренную папку с внешней системой? Тогда это не очень полноценный интернет.
    Ну и необновляемый браузер в вашей виртуалке очень расстраивает верстальщиков.

    Но в целом, конечно, шанс заражения сильно снижается.

    ОтветитьУдалить
    Ответы
    1. > Скачать и установить затрояненный файл пользователь всё равно может.
      Да, про правила работы с файлами надо говорить отдельно. Например, можно настроить скрипт, который бы со всеми файлами, попадающими в обменный каталог, делал следующее: если по расширению файл похож на картинку/видео/аудио-файл, то не трогаем его, а в противном случае переносим во временный каталог, отправляем на virustotal.com, показываем отчёт пользователю, пусть принимает решение. Это тоже не панацея, но защищает хотя бы от переноса известных вирусов в родительскую систему.

      > Ну и необновляемый браузер в вашей виртуалке очень расстраивает верстальщиков.
      Почему же необновляемый? Периодически можно скачивать свежий образ (или обновлять руками).

      Удалить
  5. Имхо слишком много безопасности для обычного пользователя, я не спорю, что если работаешь с деньгами или конфеденциальными данными, то да, но для достаточно хорошей защиты вполне хватит линукса, регулярно обновляемых браузера и флеша.

    Подчеркиваю - регулярно обновляемого всего. Обновления по закрытию багов прилетают очень быстро, если это не маргинальный дистрибутив.

    А если еще установить noexec на home, то даже вирусы, предназначенные для линукса будут иметь большие затруднения.

    Сам спасаюсь только так, другим пользователям, которые просили - решалось все банальной установкой убунты - после этого проблем не было.

    Тем кто спрашивает "какой антивирус лучше" - культурно посылаю :)

    ОтветитьУдалить
    Ответы
    1. Разве бывает безопасности слишком много? Да, при такой схеме защищено только одно направление (возможно, защищено гораздо сильнее, чем это целесообразно, учитывая открытость остальных направлений). Но кому это мешает? Уже несколько лет мощи самых дешёвых компьютеров хватает, чтобы не замечать прослойки в виде виртуальной машины. Именно по этой причине браузеры стали обзаводиться своими неполноценными "песочницами". Я лишь предложил использовать более полноценный вариант.

      (10 лет назад я бы предложил использоваться физический компьютер, на который грузиться с компакт-диска, но сейчас это слишком неудобно, если сравнивать с виртуальной машиной)

      Ваше отношение к антивирусам разделяю :)

      Удалить
    2. > Разве бывает безопасности слишком много?
      Бывает, если она ограничивает функциональность.
      У меня на работе стоит топор, в котором безопасность по сравнению с XP серьёзно допилена - при запуске приложения, которое требует права рута (а их теперь требует любое приложение, которое что-то пишет на диск - например, софтина для тв-тюнера, но это уже на домашнем компе), у пользователя на это спрашивается высочайшее разрешение. Но на работе мне это пришлось отключить, потому что неудобно каждый раз жать на кнопку в окне при каждом запуске Visual Studio, IBExpert, да хоть Total Commander.

      Удалить
  6. имхо чтобы использовать виртуалку на постоянной основе нужно быть очень сильным параноиком :) К тому же обычному юзеру и так и так потребуется помощь и если он завирусует виртуалку и обычную систему. Проще действительно поставить Линукс.

    На Винде я как-то не заморачиваюсь обычно. Бэкап всего нужного есть, антивирусами (кроме стандартного Windows Internet Security) не пользуюсь. По сайтам с совсем сомнительным содержимым ходить не имею потребности. При подозрении на вирус откатываю систему. Если не помогает - переустанавливаю винду, которую в любом случае раз в полтора года приходится переустанавливать.

    ОтветитьУдалить
    Ответы
    1. > К тому же обычному юзеру и так и так потребуется помощь и если он завирусует виртуалку

      А зачем что-то делать с завирусованной виртуалкой? Каждое утро начинается с запуска с нуля (или с точки восстановления), поэтому каждое утро имеем идеальную систему. Вот если основную систему заразит, тогда нелегко придётся, это правда.

      > При подозрении на вирус откатываю систему

      Ага, значит у Вас такой же подход, только откатываете систему вы не каждый день :) В моём подходе каждый запуск равносилен началу работы с идеально чистого состояния.

      Удалить
  7. В чём-то близкое по идее решение для офисных компьютеров в которых не требуется частое обновление софта - Deep Freeze.

    ОтветитьУдалить
  8. Мне нужно было установить VirtualBox и дистрибутив Centos, мучался 2 дня, полдня мучался только с установкой сетевой карты... В общем, для домашнего компьютера считаю виртуализация не подходит, это и громоздко\сложно и не очень user friendly, последнее это чисто моё личное мнение, к тому же? это как из пушки по воробьям.

    ИМХО, достаточно иметь антивирус с актуальными базами, периодически делать обновления, раз в несколько месяцев делать основательную чистку компьютера, а самое главное не лазить где непопадя и думать на что нажимаешь. За последние 5 лет у меня вирус\троян был раза три, при этом ни разу не приходилось прибегать к такому сильному средству как переустановка операционной системы, после первого заражения - сменил антивирус, после второго - стал делать периодическую чистку (это к тому же повышает производительность компьютера), третий раз - я знаю где именно и как я подцепил троян, это было нечто совсем свежее, так что тут, только моя глупость была.

    ОтветитьУдалить
    Ответы
    1. Гм. Не знаю, последние годы у меня не было проблем с VirtualBox. Возможно, у Вас была какая-то редкая аппаратная проблема. У меня всё всегда легко подхватывалось, поэтому не знаю. Если будет время, напишите, пожалуйста, в чём была проблема с сетевой картой и как её решили (возможно, это кому-то поможет).

      Удалить
  9. Анонимный06.08.2012, 3:57

    >Поэтому всякие ответственные вещи (например, операции с финансами) следует делать на отдельном компьютере (можно купить старый ноутбук за пару тысяч рублей)
    Если операции с финансами проходят через браузер, а не какой-нибудь банк-клиент, можно купить флешку и с помощью утилиты UNetbootin поставить на неё дистрибутив Линукса. Потом настроить в BIOS загрузку с флешки, и загружаться с неё. Выйдет дешевле, а эффект будет тот же - все фин.операции производятся в чистой системе, к которой повседневная не имеет никакого доступа.
    Особо осторожные могут использовать флешку с защитой от записи. У таких флешек на корпусе есть маленький переключатель "запись разрешена - запись запрещена". Система ставится на флешку, после чего переключатель перемещается в положение "запись запрещена". В этом случае вирус (который крайне сложно подхватить на сайте банка, заходя с чистого Линукса, на котором никаких flash/java/pdf плагинов не установлено), проживёт максимум до перезагрузки.
    Сам так и живу — поставил Ubuntu на Qumo yin&yan, пользуюсь Сбербанком.

    ОтветитьУдалить
    Ответы
    1. Есть банки, которые без PDF жить не могут, все письма в них шлют :)))

      Удалить
    2. Да, это решение понятно. И здорово, если оно удобно. Просто не всегда легко перезагрузить основной компьютер (например, там может считаться тяжёлая задача, которую нелегко прервать), поэтому я рекомендую иметь отдельную машинку для денежных операций (и гарантированно ничего другого с ней не делать).

      Удалить
    3. Анонимный12.10.2012, 10:54

      можно и Win7 PE использовать
      а если так много финансов и страшно потерять, то можно на небольшой твердотельный накопитель поставить систему и грузится при необходимости с него

      Удалить
  10. Хотите, чтобы на компьютере ничего нельзя было сделать - поставьте Chrome OS. Для линуксоидов там есть эмулятор терминала для работы на удаленных компьютерах.
    Не знаю правда, будет ли там работать онлайн-банкинг, который, как правило, требует java.

    ОтветитьУдалить
    Ответы
    1. К сожалению, многим пользователям совершенно недостаточно оси, в которой ничего нельзя сделать.

      Удалить
    2. Гм. Всё зависит от задач, конечно. В каких-то случаях это может быть неплохим решением. Впрочем, я плохо понимаю, откуда такое доверие к Chrome OS. Раз в самом браузере Chrome уже нашли кучу уязвимостей, то и в операционной системе, основанной на нём, остаются те же риски (уязвимости, которые ещё не выявили).

      Удалить
    3. Потому что в браузере Chrome не достаточно найти одну уязвимость. Соответственно, когда кто-нибудь публикует уязвимость, браузер остается надежным. К тому времени, когда кто-нибудь опубликует уязвимость ее дополняющую, первую уже закроют. Более того, как показал недавний конкурс, хакерам нужно порядка 5 уязвимостей в разных компонентах браузерах для взлома. Большинство взломщиков найти столько серьезных уязвимостей не могут. Плюс любой человек, которому они пошлют свой вирус, может разобрать его и получить кучу денег за баг. После чего через пару недель им придется искать новый набор уязвимостей.

      Наибольшую опасность на данный момент представляют плагины к браузеру, но с выходом flash на PPAPI эта опасность существенно уменьшилась.

      Еще один фактор, который помогает Chrome (и, кстати, Firefox) - это AddressSanitizer. Любой пользователь линукса может запустить хром скомпилированный с его помощью и пойти лазить по интернету. Если браузер вдруг упадет из-за встроенных AddressSantizer'ом проверок, то можно получить крэшдамп, демонстрирующий потенциальную уязвимость. Благодаря нему, большое число внешних разработчиков зарабатывают деньги на отсылке таких багов в Гугл, а Гугл получает стабильный и безопасный браузер.

      Удалить
    4. Вот ссылка на новость про flash: http://chrome.blogspot.com/2012/08/an-even-more-secure-flash-player-for.html

      Удалить
    5. Это всё хорошо. Но про любую технологию в своё время были аналогичные слова и статьи. Мол, теперь-то безопасность поднялась на новый уровень, теперь-то всё будет спокойно и надёжно. А потом на очередном ежегодном конкурсе по ломанию всего и вся опять находились ребята, способные сделать в системе то, чего создатели не планировали.

      Удалить
  11. > Если раньше были все основания опасаться за чистоту компьютера, когда в гости приходили племяшки, то сейчас им можно создать отдельный виртуальный полигон, который не может быть жалко
    Племяшки могут залогиниться в вашем блоге или ещё где-нибудь, где у вас есть авторизация, и наделать там дел.

    > А как вы сами спасаетесь от интернет-угроз?
    Прежде всего - слежу, куда хожу и что качаю.
    Вообще говоря, для меня в интернете проблема не вирусы-трояны, а всякие всплывающие окна. Уже сколько моих нервов съели, не описать. Вот, например, недавний хит - при клике правой кнопкой мыши на любом месте страницы у меня ВНЕЗАПНО открывается новая вкладка с непристойным содержанием. Закрываем, жмём снова - история повторяется. И снова и снова. Хорошо хоть контекстное меню при этом открывается всё равно, и можно выбрать Настройки для сайта > Всплывающие окна > не принимать. Но всё равно за такое уже хочется морду бить. Ибо бесчестно.
    Хотя это оффтоп.

    > Как настроили интернет своим родителям?
    Нет интернета - нет проблем.

    ОтветитьУдалить
  12. Писал-писал комментарий, комментарий отправился, но потом каким-то образом исчез. Мистика. Ладно, попробуем ещё раз.

    > Если раньше были все основания опасаться за чистоту компьютера, когда в гости приходили племяшки, то сейчас им можно создать отдельный виртуальный полигон, который не может быть жалко.
    Племяшки за компом - это проблема совершенно другого класса, нежели вредоносное ПО. Племяшки у вас на машине могут зайти во все места, где у вас авторизация (например, этот блог) и накуролесить там.

    > А как вы сами спасаетесь от интернет-угроз?
    Смотрю, куда захожу и что качаю.

    > Как настроили интернет своим родителям?
    Нет интернета - нет проблем. Тащемта, он им и незачем.
    Хотя, если в будущем съеду от них (такая вероятность не исключена), то придётся настраивать.

    ОтветитьУдалить
    Ответы
    1. > Писал-писал комментарий, комментарий отправился, но потом каким-то образом исчез.

      Это гугл почему-то посчитал Ваш комментарий подозрительным, поэтому скрыл на всякий случай.

      > Племяшки за компом - это проблема совершенно другого класса, нежели вредоносное ПО.

      Если не выпускать их за пределы свеженькой виртуальной машины, то они просто погуляют по интернету, найдут какую-нибудь очередную флеш-игрушку и т.д. Как раз страшно пускать их в систему, где залогинен на нескольких сайтах, а вот в отдельную чистую - запросто.

      Удалить
    2. > Как раз страшно пускать их в систему, где залогинен на нескольких сайтах
      Ну я из вашего поста понял, что в сети вы постоянно из виртуалки сидите. Оказывается, нет?

      Удалить
    3. Да, из виртуалки. Но почему надо всё делать из одной виртуалки, если можно запустить несколько? Память сейчас дешёвая, поэтому особых сложностей с этим нет.

      Удалить
  13. 1) Как в таком случае пользоваться закладками, историей, открытми вкладками и т. п. информацией, которую бывает нужно сохранить между сеансами? Каждый день с чистого листа не всем удобен.
    2) Вирус, запущенный в песочнице, почти не представляет угрозы для ОС, внутри которой песочница запущена, но опасен внутри самой песочницы. Если в браузере открыта не одна вкладка с завирусованной страницей, а ещё и другие сайты, с которых можно, например, стащить пароли (вспоминаем, что браузер в таком окружении обновляется совсем не оперативно).
    К тому же заражённая виртуалка — прекрасное место для спамботов.

    Как песочницу для проверки подозрительного использовать виртуалку удобно, но вот чтобы на постоянной основе — сомневаюсь.

    ОтветитьУдалить
    Ответы
    1. Всё зависит от задач, которые надо решить. Одно дело - активная работа в сети (с обменом файлами, установкой нужных плагинов в браузерах и прочее), а другое дело - сёрфинг взрослых людей (почитать новости, википедию, иногда случайно увидеть баннер "ваш браузер устарел, следуйте нашим инструкциям")...

      Если случай второй, то решения с песочницей вполне хватит. А если первый - то сам себе голова.

      > Как в таком случае пользоваться закладками, историей, открытми вкладками
      Можно один раз установить в браузер плагин, который будет хранить закладки удалённо, после чего запомнить это состояние (создать точку восстановления). Тогда при каждом запуске системы закладки будут подтягиваться. Аналогично люди синхронизируют и вкладки между несколькими своими компьютерами.

      > Вирус, запущенный в песочнице, почти не представляет угрозы для ОС, внутри которой песочница запущена, но опасен внутри самой песочницы
      Справедливо! Поэтому логинимся на крупных сайтах (почта, ридер и т.д.) мы в одной виртуалке (и там ничего другого не открываем), а гуляем по остальному интернету в другой.

      > К тому же заражённая виртуалка — прекрасное место для спамботов.
      Чем же это место хорошо? Оно же долго не проживёт.

      Удалить
    2. > Можно один раз установить в браузер плагин, который будет хранить закладки удалённо
      Опера это умеет по дефолту (как я понимаю, речь про плагинофокс).

      > Справедливо! Поэтому логинимся на крупных сайтах (почта, ридер и т.д.) мы в одной виртуалке (и там ничего другого не открываем), а гуляем по остальному интернету в другой.
      Да, для меня это было бы сущим кошмаром. Т.к. у меня как раз "Одно дело - активная работа в сети (с обменом файлами, установкой нужных плагинов в браузерах и прочее)".

      Удалить
    3. > Опера это умеет по дефолту (как я понимаю, речь про плагинофокс)
      Речь про тот браузер, которым пользователь предпочитает пользоваться. Запустить-то можно что угодно.

      > Да, для меня это было бы сущим кошмаром
      Разным задачам подходят разные решения. Если цель упростить жизнь старших родственников, которые просто не ждут коварства от выскакивающих баннеров с надписями "на вашем компьютере обнаружен вирус, нажмите сюда, чтобы вылечить", "ваш браузер безнадёжно устарел, обновитесь бесплатно здесь" или "вы получили сообщение в одноклассниках/вконтакте, перейдите по ссылке, чтобы прочитать", то решение с виртуальной машиной реально спасает. Потому что пользователь просто закрывает текущий сеанс, а потом открывает чистенький, в котором всё опять так, как он любит. И никаких следов вирусов, никаких заблокированных сайтов и компьютеров, никаких смс-вымогательств.

      Если же пользователь сам умеет не только справиться с этими проблемами, но и не вляпаться в них, то ему виднее, как себя защищать.

      Удалить
  14. Анонимный09.08.2012, 16:10

    Но ведь при таком подходе история посещений в браузере не сохраняется, да и вообще сам браузер будет оставаться старой версии.

    ОтветитьУдалить
    Ответы
    1. Есть плагины для синхронизации закладок/вкладок между несколькими компьютерами. Можно установить их, после чего сохранить состояние системы.

      Что касается обновления браузера и плагинов, то есть два соображения:
      1) в виртуалке старый браузер - не такая уж и проблема (в худшем случае, его с большей вероятностью заразят на несколько часов).
      2) обновлять никто не мешает (достаточно загрузить чистую систему с последней стабильной точки восстановления, обновить браузер и плагины, а потом создать новую точку восстановления).

      Удалить
  15. Я просто научил маму НИКУДА НИКОГДА не нажимать и ничего не качать, и что все такие просьбы на самом деле вирусы. С тех пор проблем не было.

    ОтветитьУдалить
  16. Анонимный11.08.2012, 8:40

    Решение с гипервизором вполне стандартно:

    История началась с того, что начальство постановило запретить сотрудникам играть в игры и смотреть фильмы на рабочем месте. Реализовать это можно многими путями, но мы нашли новый и попутно обрели огромное количество преимуществ.

    Когда план созрел, казалось, безумнее быть ничего не может. Мы поставили на все менеджерские машины CentOS. Нет, пересаживать менеджеров на линукс мы пока не собираемся: это слишком сильное кунг-фу. Вместо этого мы на каждой машине развернули Xen и поставили Windows гостевой системой. Играть на такой машине невозможно — производительности графической системы не хватает. Смотреть фильмы нельзя по той же причине. Зато работать — запросто. USB-ключи от клиент-банков и 1С пробрасываются внутрь, принтеры, не поддерживаемые в линуксе, пробрасываются в гостевую ОС и поддерживаются там, а поддерживаемые поддерживаются и так, чтобы печатать вне зависимости от того, что там пользователь поломал.

    Попутно вскрылись и другие преимущества такого решения. Теперь, если компьютер безвременно сломался, мы достаём винчестер и просто вставляем его в новую машину. Никакой переустановки Windows не требуется — более того, не требуется и повторная активация. Нам не нужен TeamViewer: мы можем по VNC подключиться к любому компьютеру, и пользователь об этом не узнает. Мы можем подключиться удалённо к зависшей винде! Мы можем удалённо смотреть этапы загрузки системы, перезагружать, включать и выключать гостевую систему. А ещё у нас есть Live Migration, за счёт которой мы можем заменить компьютер менеджеру за пять минут, пока тот ходит курить. Мы имеем персональный файрвол в каждой машине. Мы можем делать бэкап всей машины целиком, вместе с файлами, драйверами, настройками и программами. Мы даже сделали такую настройку, чтобы браузер запускался из линукса, а настройки и файлы сохранял на гостевой винде. У нас сократилась вирусная нагрузка, мы можем заливать софт на машины простым клонированием рабочих мест, мы можем обслуживать парк машин в фоновом режиме. Мы перестали оставаться на субботу для проведения регламентных работ — теперь достаточно вечера пятницы. Наши волосы стали чистыми и шелковистыми, наши свитеры разгладились, а бороды укоротились.

    Коллеги, пользуйтесь!

    ОтветитьУдалить
  17. Анонимный16.08.2012, 23:46

    А почему не использовать частичную виртуализацию? Например, Sandboxie?

    ОтветитьУдалить
    Ответы
    1. Можно, наверное.
      Плюсы Sandboxie:
      - всё быстрее,
      - сама система значительно меньше (всего несколько мегабайт),
      - легче научиться пользоваться.
      Минусы Sandboxie:
      - это платное приложение (для домашнего использования: 29 евро один раз или 13 евро каждый год),
      - трудно придумать, почему его безопасность (надёжность) выше, чем у линукса внутри VirtualBox).

      Удалить
  18. Безопасность в интернете это не только отсутствие вирусов на вашем компьютере. В гораздо большей степени безопасность это сохранность ваших сетевых аккаунтов.

    Запуск чистого браузера в виртуальной машине никак не защищает от взлома пароля от почты или одноклассников. Для большинства "домохозяев" зараженная машина это совсем маленькое неудобство - у них нет ничего важного на винчестере. Но взломанный аккаунт для них это большая проблема.

    Ещё одна проблема чистой виртуальной машины - версии установленного ПО застывшие, устаревают и не обновляются. Такая машина становится значительно уязвимой сразу после старта и это усиливает вероятность перехвата аккаунтов.

    ОтветитьУдалить
    Ответы
    1. > Запуск чистого браузера в виртуальной машине никак не защищает от взлома пароля от почты или одноклассников
      Почему же? От подбора пароля не защищает, а вот от кражи пароля с помощью подхваченного где-нибудь key-logger'а вполне защищает. Машина же чистая, поэтому пароль никто не "подсматривает".

      > Ещё одна проблема чистой виртуальной машины - версии установленного ПО застывшие, устаревают и не обновляются
      Это не совсем так. Никто не запрещает регулярно обновлять эту машину, после чего делать новый снимок системы (и далее всегда грузиться с него).

      Удалить
    2. Что-то слишком много трудностей для такой задачи. :)
      Мне кажется, что достаточно пользоваться двухуровненой авторизацией, а для банков и онлайн-платежей использовать переменные коды. Во всяком случае, это точно не стоит того, чтобы заводить отдельный (!) компьютер.

      Удалить
    3. John Preston, да, иногда можно обойтись и меньшей кровью.
      Но в тех же банках (речь о нормальных, конечно), для интернета как раз используются отдельные компьютеры (отдельные от интранета). Другими словами, если сотрудникам банка надо выйти в интернет, то они используют для этого компьютер, данные с которого никак не перейдут во внутреннюю сеть банка.

      Понятно, что банки так делают, потому что в случае успешной вирусной атаки они рискуют очень многим. Обычный человек рискует куда более обозримой суммой. Но завести отдельный старый ноутбук для работы с корявым банк-клиентом на ActiveX - это достаточно дешёвый и очень надёжный способ.

      Удалить
  19. Рекомендую краткий доклад Яндекса о том, что современные эксплоит-паки пробивают все известные браузеры, работающие под всеми известными ОС - http://safesearch.ya.ru/replies.xml?item_no=727

    ОтветитьУдалить
  20. О вкусах не спорят... Мне продолжает нравиться мой способ: Acronis True Image, архивный образ хорошо установленной Винды - и возможность в любой момент восстановить систему из этого образа за 10 минут.
    Ну а в банк... Если редко (туда, где депозиты) - с флешки, если часто (коммунальные платежи и т.п.) - в удобный интернет-банк с 10 000 рублей на счету и подтверждением операций через SMS из основной системы. Пароль украдут - деньги вряд ли, ну а если все же украдут - невелика потеря. А то и прибыль выйдет: буду требовать от банка премию за открытие уязвимости в их системе безопасности.

    ОтветитьУдалить
    Ответы
    1. Впрочем... Вы предлагаете терпеть некоторые неудобства при серфинге, зато иметь спокойствие в остальных сферах компьютера. У меня остальные сферы защищает бэкап и True Image; серфинг - важное занятие и должен быть удобным; а вот слабо защищенными оказываются аккаунты. М.б. попробую Вашу рекомендацию наоборот - из виртуалки ходить на почту, в ЖЖ и т.п. (Думаю, "в обратную сторону" защита тоже получится надежной).

      Удалить
  21. Не поможете ли? browserlinux501 не видит сети.
    Другой дистрибутив Линукса под ВиртуалБокс видит, но он тяжеловат, хочется легкого.
    Как настроить browserlinux501? (я не линуксоид; в Виндовс - опытный пользователь)

    ОтветитьУдалить
    Ответы
    1. Если хочется очень лёгкого, то можно попробовать SliTaz (там вообще всего 35 мегабайт).

      Если хочется настроить browserlinux501, то надо в нижней панели выбрать "настройки/сеть" и там нажать на "включить eth0" (говорю по памяти, поэтому пункты могут называться чуть-чуть иначе). Там как-то всё очень естественно было. Если не удастся включить, то, пожалуйста, напишите (я тогда точнее опишу процедуру). Успехов!

      Удалить
  22. Анонимный12.02.2013, 21:37

    Здравствуйте.
    Я попробовал оба способа:
    1) VirtualBox на Винде + образ BrowserLinux 501
    2) VirtualBox на Винде + образ EasyPeasy

    Интернет работает. Но возникли вопросы:
    1) Как расшарить папку на хосте, чтобы ее было видно из VirtualBox? Ведь из интернета надо же что-то качать. (в VirtualBox отключен даже виртуальный жесткий диск). По инструкции ничего не выходит не автоматом ни в ручную.
    2) Как можно безопасно сохранять закладки в браузере (а также импортировать их с браузера на хосте)?

    ОтветитьУдалить
    Ответы
    1. Прекрасно!

      1) Папку расшарить довольно легко, так как разработчики VirtualBox про это хорошо подумали. Но на слова "по инструкции не выходит" я не знаю, что ответить. В своё время у меня получалось легко как-то. Вы точно прочитали, например, http://ubuntologia.ru/virtualbox-ubuntu-in-windows#shared-folders? (это первая ссылка, попавшаяся мне по Вашей проблеме)

      2) Закладки лучше всего хранить на сервере (есть масса расширений браузеров, которые будут хранить все закладки где-то далеко, оперативно подгружая их в нужный экземпляр браузера (в тот, где Вы введёте правильные логин и пароль от коллекции закладок).

      Удалить
  23. Анонимный09.05.2013, 0:12

    Комменты не ставятся. В чём дело? Это фишка такая? :)

    ОтветитьУдалить
    Ответы
    1. Защита от спама не пропускает некоторые комментарии, что ограждает читателей от рекламы. Но я прочитываю все такие заблокированные сообщения, чтобы разблокировать ошибочно скрытые.

      Удалить

Понравилась заметка? Подпишитесь на RSS-feed или email-рассылку.

Хотите поделиться ссылкой с другими? Добавьте в закладки:



Есть вопросы или предложения? Пишите письма на адрес mytribune АТ yandex.ru.

С уважением,
      Илья Весенний