Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Eroare F16 msh Whirlpool 6 sense

Toyota - inconveniente minore poa...

Cadere frunze la lamai

Releu protectie tensiune
 Sfat achizitie masina noua

Numere inmatriculare inundatie

Adaptor mandrina la paleta

Achiziție și inlocuire ...
 Recomandare service BMW Bucuresti

Recomandare SSD

Cheie BMW X4 G02 duplicat

Colantare auto, locatii, preturi,...
 Boxe fata golf 5

Resizable BAR

Gratar/tigaie pentru friptura - p...

Se pot utiliza imaginile generate...
 

Blocare malware inainte de a ajunge la utilizatori

- - - - -
  • Please log in to reply
50 replies to this topic

#1
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015
Un sfat daca se poate pentru a bloca in viitor fisierele cu atasamente de tip exe in zip sau exe in zip in zip. Un server cu Debian postfix amavisd-new spamassassin clamav sau sa bag la intrare in loc de amavis-new+clamv  un FortiMail 200D in regim transparent ?
Sau alta solutie daca se poate.  Nu sunt de principiul ca trebuie sa vindem firma ca sa cumparam echipamente gen NASA/CIA. La urma urmei mai avem si un cap pe care trebuie sa il folosim in beneficiul firmei. Iar tehnicile de hacking evolueaza foarte repede. Chiar daca cumpar acum echipamente performante si extrem de scumpe peste 5 ani sunt total depasite. Deci ?
PS: Mai departe deja imi da si mai tare cu virgula....citeam un articol recomandat de @f300. Chiar e ingrijorator..."Attached to the email was an Excel file containing malware. When an RSA employee opened the Excel file, the malware exploited a vulnerability in Adobe Flash......"
PPS: azi am primit un email perfect valid de la un beneficiar (adresa, nume contact, telefoane, TOT). Doar adresa din header l-a tradat ca e ceva suspect. Un zip continand un ".pdf................exe".  Punctele multe (erau mult mai mullte) sunt reale. Antivirusul complet inutil....

Edited by bumpocbum, 18 February 2015 - 21:30.


#2
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
O solutie ar fi alerte in timp real catre utilizatori/administratori (Facebook lucreaza la asa ceva, Microsoft la fel etc).

1. Filtrarea o poti face MIME direct din Postfix; doar ca daca iti vine atasament cu parola... aici nu stiu solutia (sa elimini tot ce vine parolat, de exemplu)
2. Malware poti lua prin orice tip de fisier care este deschis de catre un software - singura solutie sunt updateurile la zi(dar si updateul apare fie dupa ce s-a descoperit vulnerabilitatea si a fost raportata, fie dupa ce a fost facuta publica)
3. Problema este ca oricat de mult ai securiza tu, tot utilizatorul este cel care "decide"; in plus ar trebui implementate masuri de siguranta la nivelul tuturor, inclusiv a colaboratorilor vostri

Oricum, poti sa le multumesti miilor de "specialisti" care au in grija diverse companii/retele si pentru care securitatea nu este importanta.

#3
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015
"Filtrarea o poti face MIME direct din Postfix". Nu merge, poti sa filtrezi doar fisierele atasate cu .exe sau .scr. Dar .exe in zip nu merge, trebuie ceva mai avansat. NU poti sa pui baza pe utilizator indiferent cate training-uri ai facut cu el si cate fise de sistem a semnat. Necazul e ca multe softuri refuza sa mai functioneze corect in regim de user/power user sau cu restrictii din gpedit. Deci trebuie luate masuri inainte sa ajunga virusul pe calc. Update-uri la zi, nod-ul face update de 3 ori pe zi si DEGEABA.... Adevarul e ca nu stiu in ce parte sa o mai iau...

Edited by bumpocbum, 18 February 2015 - 21:45.


#4
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
Afara cu tot ce este ZIP. Daca are careva sa iti trimita, il obligi sa foloseasca o extensie "custom".
Normal ca refuza sa mai lucreze corect, pentru ca sunt gandite cu partile dorsale... eu am mai spus-o: s-a dezvoltat masiv software/s-a informatizat fara sa se tina (prea mult) cont de partile de securitate. Updateuri la zi la tot softwareul care ruleaza pe respectivele statii. Sandboxing/virtualizare in functie de posibilitati.

Problema este alta: ce te faci cand primesti un fisier legitim (gen .PDF) facut de un partener/colaborator care este infectat(am avut un caz real, o oferta in format PDF)? Si da, treaba nu este deloc simpla.


Apropos:
http://economie.hotn...phone-urile.htm

#5
dani.user

dani.user

    Guru Member

  • Grup: Senior Members
  • Posts: 30,286
  • Înscris: 24.02.2007
Mi-e greu sa cred ca n-a scris nimeni un filtru pentru executabile gasite in arhivele atasate. Mai ales la cat de populare sunt solutiile astea pentru email.
Daca nu exista, poate scriu eu unul.

Edited by dani.user, 18 February 2015 - 22:03.


#6
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
Se poate cu amavis. Dar nu te "ajuta" prea mult tehnica, daca baietii trec la PDFuri sau alte fisiere.

http://lists.amavis....ril/002235.html de exemplu

Edited by dexterash, 18 February 2015 - 22:06.


#7
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008
Eu aveam unul inainte de 2000 pe serverul de mail. Era un script stupid care probabil nu scaleaza dar pentru o firma mica mergea.

#8
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015
Cred ca am mai zis din pacate  NU se poate fara zip. Acu tu zici de PDF (inca nu am auzit de pdf infectat, unde baga virusul ?) , am mai citit si de excel (excel da are ceva macro-uri si in spate VB-ul). Exista solutia  asta cu amavis-new+clamv dar cine a folosit-o ? Cat e de stabila ? Poti sa pui baza pe ea ?  Solutile profi de genul fortigate/baracuda sunt scumpe cu draci. Si probabil dupa 2-3 ani trebuiesc inlocuite cu alte echipamente/soft.
Nu stiu ce inseamna firma mica, eu am 200 de calculatoare care imi dau dureri de cap.
PS" nici macar Eset-ul nu a inventat o metoda sa stearga direct fisierele atasate de tip zip care contin exe...

Group: ESET Moderators
    Posts: 2,897
    #########: 958
    Joined: 08-February 13
Posted 26 November 2013 - 09:47 AM
Currently it's not possible to delete / quarantine only archives with at least one executable file inside. However, this is a feature that we'd like to have added as soon as possible.

Edited by bumpocbum, 18 February 2015 - 22:12.


#9
dani.user

dani.user

    Guru Member

  • Grup: Senior Members
  • Posts: 30,286
  • Înscris: 24.02.2007
Ce poate face cu un PDF?
Cu excel iar nu e asa problematic fiindca au extensie separata pentru versiunea cu macro-uri, si oricum te intreaba daca esti sigur ca vrei sa le rulezi. Plus ca nu rulezi Excel-ul sau PDF Viewer-ul ca admin.

Nu-ti trebuie solutii pe baza de antivirusi. Alea consuma fiindca analizeaza in detaliu executabilul pentru a vedea daca-i ok sau nu + ca poate nu-s la zi. Iti e suficienta respingerea oricarui email care contine orice executabil intr-o arhiva. La fel cum Gmail, de exemplu, nu te lasa sa atasezi executabile in arhive.

#10
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

 bumpocbum, on 18 februarie 2015 - 22:05, said:

Cred ca am mai zis din pacate  NU se poate fara zip.
Trebuie sa gasiti o solutie. Altfel, pregatiti-va de ce este mai rau.

 bumpocbum, on 18 februarie 2015 - 22:05, said:

Acu tu zici de PDF (inca nu am auzit de pdf infectat, unde baga virusul ?)
Nu trebuie sa il "bage" undeva, ci se foloseste de modul in care softwareul interpreteaza/afiseaza PDFul. Este o chestie simpla(de fapt, "baza" exploiturilor).

 bumpocbum, on 18 februarie 2015 - 22:05, said:

Exista solutia  asta cu amavis-new+clamv dar cine a folosit-o ? Cat e de stabila ? Poti sa pui baza pe ea ?
Este stabila daca stii sa o configurezi. O am aplicata pe 3 servere prin care circula cateva mii de mailuri zilnic si se comporta bine (inclusiv SpamAssasin pentru filtrare SPAM). Dar sa ii pui la dispozitie destula putere de calcul.

 bumpocbum, on 18 februarie 2015 - 22:05, said:

Solutile profi de genul fortigate/baracuda sunt scumpe cu draci.
Normal ca sunt scumpe pentru ca protejeaza date scumpe.

 dani.user, on 18 februarie 2015 - 22:10, said:

Ce poate face cu un PDF?
Ca sa nu crezi ca mananc ciuperci:
http://securityxplod...ln_exploits.php - "arbitrary code execution"
sau
http://www.malwaretr...m/pdfthreat.php

Edited by dexterash, 18 February 2015 - 22:14.


#11
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015
Sunt deschis la orice sugestii si nu contest nimic. Vreau doar sa gasesc o solutie. Cel mai ok e o solutie bazata pe antivirusul local, dar sa ma lase sa in configurez sa stearga ce nu imi convine. @dexterash pentru 5000 de email-uri zilnice ce resurse imi trebuie pentru amavis-clamv ?
@dani.user o solutie te rog pentru verificare continut fisiere atasate ? Linux, ca nenea Bil e scump...

Edited by bumpocbum, 18 February 2015 - 22:18.


#12
dani.user

dani.user

    Guru Member

  • Grup: Senior Members
  • Posts: 30,286
  • Înscris: 24.02.2007
Exploit-urile in PDF-uri sunt puternic dependente de software-ul folosit pentru vizualizare si nu sunt descoperite chiar asa ... pe banda rulanta.
Folosesti un soft mai putin popular/mai simplu (ex. SumatraPDF, sau chiar cel din Windows 8) iar sansele ca cineva sa le exploateze scad dramatic, mai ales daca-i actualizat la zi.

 bumpocbum, on 18 februarie 2015 - 22:18, said:

@dani.user o solutie te rog pentru verificare continut fisiere atasate ? Linux, ca nenea Bil e scump...

Daca  nu gasesti una pana in weekend, incerc s-o implementez eu.

#13
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

 bumpocbum, on 18 februarie 2015 - 22:18, said:

@dexterash pentru 5000 de email-uri zilnice ce resurse imi trebuie pentru amavis-clamv ?
Quad/Octa, 2.5Ghz+/thread si ceva gen 6-12GB RAM. Cel putin eu de astea dispun si tot se mai "agata" cand sunt multe/vin catre 20 de casute concomitent. Depinde cum "tweakuiesti"/gandesti filtrarea.

 dani.user, on 18 februarie 2015 - 22:21, said:

Exploit-urile in PDF-uri sunt puternic dependente de software-ul folosit pentru vizualizare si nu sunt descoperite chiar asa ... pe banda rulanta.
Folosesti un soft mai putin popular/mai simplu (ex. SumatraPDF, sau chiar cel din Windows 8) iar sansele ca cineva sa le exploateze scad dramatic, mai ales daca-i actualizat la zi.
Cerc vicios:
-software mai putin popular, vanzari mai mici, programatori mai slabi...
-software mai popular, vanzari mai mari, programatori mai buni dar si mai "urmarite" bugurile

Tu ce crezi ca poate face o organizatie specializata pe astfel de infractiuni si care a tras 300+ milioane USD? Asa-i ca bugetul ajunge sa "cumperi" tot felul de programatori buni?

 bumpocbum, on 18 februarie 2015 - 22:18, said:

Linux, ca nenea Bil e scump...
Daca Bill este scump... inseamna ca datele voastre nu valoreaza mai nimic.

#14
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015

 dani.user, on 18 februarie 2015 - 22:21, said:

Daca  nu gasesti una pana in weekend, incerc s-o implementez eu.

Multumesc, raman dator vandut. Azi ma uitam la un email cu un exe intr-un zip si ma gandeam ce virus o fi in el....am salvat fisierul atasat pe desktop, l-am scanat cu nod-ul si nimic....doar eu stiam ca e un virus. Oricum vad ca atacurile mai ales cu tot felul de troieni downloader sunt din ce in ce mai dese. Troieni care iti aduc virusi de tipul CTB.
@dexterash urci destul de sus pentru 20 de email-uri simultane... Fortimail 200d analizeaza 170 mii de email-uri pe ora la un pret de "PREȚ PROMO 2100€ - soluția completă* cu suport 1 an" . Greu de ales.

#15
dani.user

dani.user

    Guru Member

  • Grup: Senior Members
  • Posts: 30,286
  • Înscris: 24.02.2007
Ce sanse sunt ca o "organizatie" sa ia acum la rand toate viewerele pdf si sa caute exploit-uri care mai de care pentru fiecare?
Paranoia? Folosesti un user limitat ce poate accesa doar un folder de date temporare, si ala read-only si poate sa-ti execute ce cod vrea prin exploit-uri, ca mare lucru nu va obtine.

#16
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004

 bumpocbum, on 18 februarie 2015 - 22:36, said:

Multumesc, raman dator vandut. Azi ma uitam la un email cu un exe intr-un zip si ma gandeam ce virus o fi in el....am salvat fisierul atasat pe desktop, l-am scanat cu nod-ul si nimic....doar eu stiam ca e un virus. Oricum vad ca atacurile mai ales cu tot felul de troieni downloader sunt din ce in ce mai dese. Troieni care iti aduc virusi de tipul CTB.
@dexterash urci destul de sus pentru 20 de email-uri simultane... Fortimail 200d analizeaza 170 mii de email-uri pe ora la un pret de "PREȚ PROMO 2100€ - soluția completă* cu suport 1 an" . Greu de ales.
Eu am aproximat, pentru ca mai am si alte servicii pe acele masini + sunt virtualizate.
O fi fortimailul mai optimizat, nu zic nu. Doar de aceea platesti, nu? :)
Dar atat timp cat regulile interne de filtrare nu sunt dinamice... imediat se schimba "foaia"/modul de atac. Intelege ca discutam de organizatii care obtin bani(grosi) si traiesc din astfel de infractiuni.

 dani.user, on 18 februarie 2015 - 22:39, said:

Paranoia?
Vine CISCO, Kaspersky, Microsoft, Facebook si avertizeaza si ma faci pe mine paranoic? No shit...
Daca ai avea retele/servere de diverse servicii pe mana (si nu una) poate ai intelege ce si cum.

Stai sa le vezi cand vor veni coordonate (sunt abia la inceput) ce "bucurie" va fi.

Edited by dexterash, 18 February 2015 - 22:44.


#17
dani.user

dani.user

    Guru Member

  • Grup: Senior Members
  • Posts: 30,286
  • Înscris: 24.02.2007
Nu ma referam la tine, personal.
Atunci cand riscul e mare/se pot pierde multe, se apeleaza si la masuri mai severe. Nu exclud utilitatea solutiilor de securitate care mai de care, dar, pana la urma, securitatea e un proces, nu un produs. Inainte sa dau bani pe tot felul de filtre, iau prima data masuri sa limitez/elimin impactul.

#18
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 399,717
  • Înscris: 08.10.2015
@dexterash nu stiu cum o fi la tine dar sefii mei nu accepta sa nu primeasca email-urile sau sa aiba delay sau mai stiu eu ce. Parca am mai zis de asta. Deci trebuie sa fac sa merga treaba. Poti sa fii sigur ca in 25 de ani + de cand ma ocup de IT-ul din firma intotdeauna email-urile au venit la timp si au ajuns la beneficiari in timp util. Sunt sigur ca exista solutii la preturi foarte convenabile. Trebuie doar bunavointa si multi prieteni.
Daca ai sti ce servere am acum pentru partea de net/email ai sa zici ca nu e adevarat. Si merg IMPECABIL.
Sa stii ca la ora actuala pot sa externalizez serviciile de net/emal la preturi minime, mult sub Fortimail sau mai stiu eu ce traznai. Dar sigur nu or sa merga la fel de bine.  Pot sa zic ca am contract cu Hostway Canada pentru email si hosting, dar nu il folosesc din motive de delay-uri la trimitere-primire email. Plus timpul de raspuns in caz de probleme. Care au fost destule, am doar 2 casute de email la ei din cele 500 asigurate si merg ca naiba....Sunt zile in care nu pot sa le accesez. Nu imi permit asa ceva. Deci imi trebuie solutii.

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate