Windows 7 megvédése

Windows 7 (legális) normális használattal (Firefox + Adblock + Noscript, Thunderbird, AVG, semmi warez, semmi torrent).
Valami trójai elvitte a levelező jelszavakat (saját domain, freemail, gmail) és meghülyítette a Firefox-ot (kb. így is került szem elé).
Nem tudom, hogyan jött be, nem is fogom tudni kitalálni.
Az AVG egy full system scan közben találta meg és rúgta le (addig vajon miért nem?).
Most elvileg minden tiszta.

Elkezdtem gondolkozni valami megoldáson, amit nagyjából bárkinek oda lehet adni, mert nem túl bonyolult és talán valamennyire hatékony is.
Az elvi cél a könnyen managelhető teljes kontroll az összes kimenő forgalom felett, tehát egy kombinált proxy/tűzfal progi kellene, egyszerű whitelist/blacklist kezeléssel.

Végül ezt raktam össze:
- Win7
- víruskereső: AVG
- tűzfal: ZoneAlarm
- lokális proxy: SafeSquid

A tűzfal tényleg _mindent_ tilt, csak a SafeSquid mehet a net felé.
A böngészőkben proxy-nak a SafeSquid van beállítva, ami alapból szintén mindent tilt, kivéve a whitelist-ben felvett oldalakat.
A whitelist egy weblapon át szerkeszthető (ha csinál hozzá egy leírást az ember, akkor semmi extra, csak sokat kell kattintgatni).

Amit még ki kell találni, hogy ezekkel mi legyen:
- levelező program (pl. Thunderbird)
- messenger programok (miranda, skype, stb.)

Gondolkoztam még parental control jellegű cuccokban is, pl. a ZoneAlarmnak van ilyenje, de egyelőre bonyolultnak tűnt.

Hozzászólások

+ A mindennapos használatra user fiók létrehozása, adminisztrátori fiók jelszavazva és a jelszó jól elásva.
--
Coding for fun. ;)

Az Avast-nak mar a Home verzioja is kepes beepulni a levelezoprogramokba, illetve kepes az IMAP/POP forgalmat monitorozni.
A Standard verzio (egyaltalan nem draga) kepes IM szuresre is - asszem skype-t pont nem, de azt meg a fajlvedelem kepes leloni (egyszer kertem valakit, hogy kuldje el az eicar-t, mert lusta voltam megkeresni (baromi lassu volt a net), be kellett pasztazni, mert maskepp nem jott at).
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

"Valami trójai elvitte a levelező jelszavakat (saját domain, freemail, gmail)"
Ez érdekelne, hogy hogyan, le volt tárolva a böngészőbe az összes jelszód ?

nem pont ez, de ilyesmi: pár éve az egyik (környezetemben lévő, mondjuk ismerős) valaki úgy járt, hogy a Total Commander-ben lévő FTP hozzáférési adatait vitték el látszólag nehézség nélkül - miközben a kódot itt is csak egy teljes biztonsági ellenőrzés találta meg. a tehetséges versenyző nem egy és nem is tíz általa ~felügyelt ill. ?készített? honlap hozzáférését tartotta a csodás fájlkezelőben :)

beszopta tövig, de hát ez van. nem is egyedi eset, több helyről hallottam ehhez ~hasonló sztorit. egyiket sem tudtam nagyon sajnálni.

--
Vége a dalnak, háború lesz...

> egyiket sem tudtam nagyon sajnálni.

Jó neked.
Viszont sima mezei user honnan gondolja, hogy a programból is kilopják az adatait? Biztosan rossz példa, de most ez jut: arra sem számít, hogy az autójának a távirányítóját hallgatják le, amikor kinyitja/bezárja. Nem lehetetlen, de az ő szempontjából mégis kb. ugyanaz a scifi kategória.

Egyszerűen be kell látni, hogy szar, elavult, őskori technológiákat használunk (pop3, smtp, ftp) és erről nem a júzer tehet.

mivel tudtommal weblap fejlesztéssel / felügyelettel is foglalkozott akiről beszélek, így a mezei user nem teljesen igaz. csak arra kellett gondoljak, hogy az én tárhelyem adatait vinnék xy-tól az milyen lenne már. mondjuk az is fura aki csak így kiadja, aztán ha kész a honlapja legalább a jelszót nem változtatja meg - ha már ilyen szerencsétlen a felállás.

de nem baszlatni akartalak, ez csak az én véleményem - és mint mondottam nem pont ugyanaz a szituáció.

--
Vége a dalnak, háború lesz...

AppLocker + Enforce rules (Enterprise + Ultimate only)

Nem, a SmartScreen az olyan, mint Firefoxnál és Chromenál is a "Phishing and Malware Protection". Az általad meglátogatott URL-eket összehasonlítja ismert kártékony weboldal címekkel és szól, ha ilyen helyre tévednél. A gyakorlatban nem sokat ér (én nem is használom)...

Az AppLockerrel meg tudod adni, hogy milyen programokat futtathat adott user és enforced rules esetén minden mást tilt. Így beállíthatod, hogy a Firefoxot futtathatja a user, meg a Thunderbirdöt, viszont ha valamelyikben kihasználnak egy hibát és letolnak egy malwaret a gépedre, akkor azt nem engedi futtatni. Lehet, szabályt állítani tanúsítvány alapján (aláírt exe-k), file hash alapján, vagy könyvtár útvonal alapján.

Arra is jó, hogy a user nem képes telepíteni viccescicás screensavereket és csudajó messenger emotikonokat.

"Windows 7 (legális) normális használattal (Firefox + Adblock + Noscript, Thunderbird, AVG, semmi warez, semmi torrent)."

Akkor hatalmas szerencsed van, egy ilyen 0day ugyanis tobbet er mint a geped mindenestul. :)

--
"You're NOT paranoid, we really are out to get you!"

ZoneAlarm lecserélve tinywall-ra (tinywall.pados.hu).
Tisztább, egyszerűbb, lazább érzés.