EagleEye, ilyet tényleg tud a Windows ?

Security-all

EagleEye, ilyet tényleg tud a Windows ?

  • 1101 megtekintés

( Névtelen (nem ellenőrzött) | 2005. 12. 12., h – 08:44 )

[quote:ed2f214839="Bali"]egyebkent nem belso naploba kerulnek, meg nem arrol szol hogy most logolja a userek tevekenyseget fs szinten...hanem az egesz filerendszer egy barominagy naplofile, amit csak hozzafuzessel, szekvencialisan ir a rendszer a filerendszerben valo valtozasokkor. (es ezert hivjak naplozo filerendszernek) az egesz lenyege, hogy folyamatosan lehet irni/olvasni a naplot, ezert nem io muvlet korlatozott annyira a gep es elegge hibaturo, mivel ha elszall a masina, csak a naplofile vegen lehet a hiba, csak azt kell ellenorizni.

AFAIK ez nem így van. Van olyan filerendszer is ami így működik, de az NTFS nem.

( avoros | 2005. 12. 12., h – 09:28 )

Véletlenül ismerem őket (a céget) és a terméket is.
Csak titokban szólok, hogy meg akarják csinálni Linuxra is, ugyanezt.
De tényeg, ők mondták.

( csillaglyuhasz | 2005. 12. 12., h – 10:29 )

[quote:593a06a496="avoros"]Véletlenül ismerem őket (a céget) és a terméket is.
Csak titokban szólok, hogy meg akarják csinálni Linuxra is, ugyanezt.
De tényeg, ők mondták.

Igen ? Na az nem semmi. És lehet tudni arról, hogy mikorra tervezik, mikor lesz belőle már legalább egy béta ? Vannak itt nagyon kemény funciók. Gondolok itt a "Quarantine" funkciójukra ( lást itt...), ez gyakorlatilag olyasmi mint a chroot csak éppen nem alkalmazásoknak, hanem fájloknak. Berakod a fájlokat (pl igen fontos szenzitív dokumentumok) egy karantén könyvtárba, és utánna onnan nem is lehet kihozni, sem magát a fájlt, sem azoknak a tartalmát pl. copy/paste stb. funkciókon keresztül. Ki is próbáltam a funkciót és nagyon durva, se copy/paste, se command promptos másolgatás, se exploreres dragndroppal nem lehet kihozni a könyvtárból a fájlt.

Remélem, hogy a linuxos részben legalább a kernel módosításokat open-sourceban fogják csinálni. Érdekelne, hogy kik azok az emberek akik ilyet fejlesztenek...

( prez | 2005. 12. 12., h – 11:03 )

kicsit olyan mint az inotify, de ha nem majd kijavítanak :) Mindenesetre az pozitív, ha végre lesz egy normális értesítő rendszer linux alá (az inotify elég gyengusz)

( btunyo | 2005. 12. 12., h – 12:56 )

Azt ugyan nem tudom hogy mennyien fejleszthetik a dolgot, de szemely szerint en harom emberkevel talalkoztam (ket fiu egy lany) ok hoztak hozzank tesztelesre a cuccot. Nem mondanam hogy tulsagosan meg vagyok vele elegedve!! Bar baromi sok jo dolgot tud, szerintem meg nagyon kezdeti stadiumban van.

Eddigi bajaim vele:
1. A Control Center nevezetu progi amivel figyelgetni meg konfigolgatni lehet a cuccot .Net -es es tetu lassu.
2. A szerver reszet akarmilyen fullos vasra tettuk 100% load-on tekerte.
3. Ammellett, hogy gyilkolja a szervert le is egy ket nap utan.
4. Beta verzio!! De remelem egyszer kesz lesz es jo lesz.

Kellemes tapasztalatok (maramikor ment):
1. A Control Center ugyan lassu de nagyon konnyen es gyorsan testreszabhato, es ki merem mondani hogy felhasznalobarat.
2. Rengeteg mindent tud.(mindenfele filemuveletet logol, szinte barmit lehet vele tiltani, es mivel szinte minden file muveleteken keresztul megy, nagyon jol lehet vele a felhasznaloi jogokat korlatozni)
3. Meg sehogy nem sikerult megkerulni a korlatozasait.(itt meg kell jegyeznem hogy hozza jon meg egy kis active directory)
4. A fejleszto csapat nagyon keszseges, es azonnal segitenek ha valami bajunk van.(meg ha tudnak)

Összefoglalva: jo kis cucc ez de meg kell neki nemi ido meg teszteles hogy jol menjen, de szerintem halalra fogjak keresni magukat a sracok.

Linuxos fejlesztesrol nekem nem szoltak ugyan, de sok szerencset nekik hozza!

( Bali v | 2005. 12. 12., h – 12:57 )

[quote:ff354b5366="zebra"][quote:ff354b5366="Bali"]egyebkent nem belso naploba kerulnek, meg nem arrol szol hogy most logolja a userek tevekenyseget fs szinten...hanem az egesz filerendszer egy barominagy naplofile, amit csak hozzafuzessel, szekvencialisan ir a rendszer a filerendszerben valo valtozasokkor. (es ezert hivjak naplozo filerendszernek) az egesz lenyege, hogy folyamatosan lehet irni/olvasni a naplot, ezert nem io muvlet korlatozott annyira a gep es elegge hibaturo, mivel ha elszall a masina, csak a naplofile vegen lehet a hiba, csak azt kell ellenorizni.

AFAIK ez nem így van. Van olyan filerendszer is ami így működik, de az NTFS nem.

de igy van :) amit irtam az mindre igaz.
ami kulonbseg a naplozo filerendszerek kozott az annyi, hogy irhatnak muveletet, vagy ertekeket a naploba; milyen szemetgyujtes van; ertekek visszaallitasanak algoritmusa; meg meg csomo minden es a legfontosabb, hogy hogyan keressenek a naploban.

( Névtelen (nem ellenőrzött) | 2005. 12. 12., h – 13:15 )

[quote:2cc1830bd5="Bali"]de igy van :) amit irtam az mindre igaz.
ami kulonbseg a naplozo filerendszerek kozott az annyi, hogy irhatnak muveletet, vagy ertekeket a naploba; milyen szemetgyujtes van; ertekek visszaallitasanak algoritmusa; meg meg csomo minden es a legfontosabb, hogy hogyan keressenek a naploban.

Szerintem meg a legtöbb naplózós filerendszer csak a metaadatokat naplózza. Szó sincs arról, hogy az egész filerendszer egyetlen nagy napló lenne.

( csillaglyuhasz | 2005. 12. 11., v – 10:31 )

Most láttam egy érdekes weboldalt/programot ( http://www.eagleeyeos.com ), ami olyan dolgokat tud, hogy tudja naplózni a fájlrendszeren a másolást, tudja blokkolni is ezeket a magasabb szintű műveleteket. Ráadásul az egész állítólag kernel szinten van fejlesztve.
Ki is próbáltam neki a free verzióját, amiben szépen működött is a pendrive, bluetooth, infra tiltások. A pendriveot pl még naplózta is.

Tud valaki erről a programról valamit ? Mert ahogy látom magyarok fejlesztik az egészet.

Nagyon leesett az álam, hogy ilyen jellegű security dolgokat lehet csinálni. Ezeket a funkciókat meglehet egyébként csinálni linuxban ? Gondolok itt arra, hogy másolás forrását célját naplózni, read-only-vá tenni azokat a pendriveokat, amelyek nincsennek benne a whitelistban, stb.

( dragi v | 2005. 12. 11., v – 10:34 )

grsec peldaul tud exec meg par hivast naplozni, illetve futtatast tiltani, szoval csak tobabb kene fejleszteni par dolgot. De talan rsbac is hasonlo.

( csillaglyuhasz | 2005. 12. 11., v – 10:44 )

[quote:24d0c9475b="dragi"]grsec peldaul tud exec meg par hivast naplozni, illetve futtatast tiltani, szoval csak tobabb kene fejleszteni par dolgot. De talan rsbac is hasonlo.

Na igen, azt én is ismerem. De azt nem értem (józan paraszti ésszel), hogy hogyan lehet a copy-t naplózni. Tegnap kipróbáltam a Free verzióját másoltam egy pendrive-ra. Az email logban tényleg ott volt, hogy copyzás történt a C:\akarhonnan a pendrivera. Először azt hidtem, hogy ez valami NTFS specific dolog, de aztán rájöttem, hogy a pendriveomon FAT van. (ráadásul linuxból formáztam vfatra, tehát tuti nem lehet benne semmi csavar)

( dragi v | 2005. 12. 11., v – 11:59 )

Mivel egy ujabb file bejegyzeshez inodokat kell lefoglalni, meg stb es azt a kernel vegzi, igy ezt mar lehet naplozni. De majd valaki fs szakerto kifejti.

( Ago | 2005. 12. 11., v – 13:32 )

[quote:01c104782e="dragi"]Mivel egy ujabb file bejegyzeshez inodokat kell lefoglalni, meg stb es azt a kernel vegzi, igy ezt mar lehet naplozni. De majd valaki fs szakerto kifejti.

meg egyébként is, a windowsnak is van apija, ami kernelnek küldött üzeneteket elkapja, tehát minden üzenet, ami win32 programtól jön, az egy adtt rendszerhívást hajt végre. A két réteg közé beülö alkalmazások el tudják ezeket kapni és megtenni a szükséges intézkedést. Linux alá is lehetne ilyen alkalmazást írni. A kérdés soha nem az, hogy meg lehet-e írni vlaamit, hanem, hogy van-e rá elég erőforrásod, hogy megtedd. Az opensource tud ebben segíteni és hátráltatni is. Segít, mert sok külső megoldásra építhetsz, de gátol, mert a legnagoybb cégtől a legkisebbig sok olyan szarrágó ügyvezető van, aki akkor is sajnálja kiadni a pénzt valamire, ami pedig nem csak előnyös, de mondjuk még kell is neki, mert kötelező. "De eddig ez nem volt, az IT csak viszi a pénzt". A fejlesztőket viszont fizetni kell. Elég combosan kell valamit megtámogatni hátulról, ha open sourceba akarsz vállalati megoldást tenni, eddig mindig valakinek érdeke fűzödött hozzá és csak pénzes fejlesztéssel működött a dolog. A linux kernel, az apache, a mysql, a postgresql, a clamav, a postfix, a gcc stb. mind azért fejlődött, mert volt egy jó alapjuk, amit még meg lehetett szeretetből csinálni, de utána kellett jó sok pénzt tolni bele, mert minden projektnél a vállalati szintű funkciókhoz sok tesztelés, sok idő kell, hogy megnézd mi mivel működik együtt. Röviden: meg lehet csinálni és nem vagyok fs expert, de szerintem ezt a syscalloknál oldja meg a windows. De ki tudja.

( Joco8192 v | 2005. 12. 11., v – 13:58 )

Ja nekem meg ki írt olyant a gép hozzáférés megtagadva.
És rendszer tudom hogy naploz mert kűlönben miért hivnák naplózó fájlrendszernek.

( ghost | 2005. 12. 11., v – 14:01 )

[quote:8fecd239be="8192Joco"]Ja nekem meg ki írt olyant a gép hozzáférés megtagadva.
És rendszer tudom hogy naploz mert kűlönben miért hivnák naplózó fájlrendszernek.

Hát az más miatt van, a műveletek egy belső naplóba kerülnek, a tranzakciókezelés miatt, de egy fájl átmásolása mondjuk bájtonként igen sok naplóbejegyzést igényel. Ezt nem lenne ideális követni, sokkal könnyeb az open és a close követése.

( ghost | 2005. 12. 11., v – 14:02 )

[quote:425bd83e0a="Ago"][quote:425bd83e0a="dragi"]Mivel egy ujabb file bejegyzeshez inodokat kell lefoglalni, meg stb es azt a kernel vegzi, igy ezt mar lehet naplozni. De majd valaki fs szakerto kifejti.

meg egyébként is, a windowsnak is van apija, ami kernelnek küldött üzeneteket elkapja, tehát minden üzenet, ami win32 programtól jön, az egy adtt rendszerhívást hajt végre. A két réteg közé beülö alkalmazások el tudják ezeket kapni és megtenni a szükséges intézkedést. Linux alá is lehetne ilyen alkalmazást írni. A kérdés soha nem az, hogy meg lehet-e írni vlaamit, hanem, hogy van-e rá elég erőforrásod, hogy megtedd. Az opensource tud ebben segíteni és hátráltatni is. Segít, mert sok külső megoldásra építhetsz, de gátol, mert a legnagoybb cégtől a legkisebbig sok olyan szarrágó ügyvezető van, aki akkor is sajnálja kiadni a pénzt valamire, ami pedig nem csak előnyös, de mondjuk még kell is neki, mert kötelező. "De eddig ez nem volt, az IT csak viszi a pénzt". A fejlesztőket viszont fizetni kell. Elég combosan kell valamit megtámogatni hátulról, ha open sourceba akarsz vállalati megoldást tenni, eddig mindig valakinek érdeke fűzödött hozzá és csak pénzes fejlesztéssel működött a dolog. A linux kernel, az apache, a mysql, a postgresql, a clamav, a postfix, a gcc stb. mind azért fejlődött, mert volt egy jó alapjuk, amit még meg lehetett szeretetből csinálni, de utána kellett jó sok pénzt tolni bele, mert minden projektnél a vállalati szintű funkciókhoz sok tesztelés, sok idő kell, hogy megnézd mi mivel működik együtt. Röviden: meg lehet csinálni és nem vagyok fs expert, de szerintem ezt a syscalloknál oldja meg a windows. De ki tudja.

rootkiteke is ezt teszik

( csillaglyuhasz | 2005. 12. 11., v – 14:42 )

Megnéztem a programnak a "nagyipari" verzióját. Van belőle próba verzió. A funkciók felét nem is értem, de amit értek benne azoknagy a nagyrészén lefeküdtem.

A program naplózza alapból az összes fájlműveletet, de nem csak az olvasás,írás, törlés és létrehozást, hanem konkrétan látszik a naplóban, hogy A fájl B-be másoltam. Ez mondjuk még elmenne, de az is látszik, hogy copy/paste-val vittem át infót, meg az is, hogyha egy fájlt pl. printelek.
Tud olyat a program, hogy egy kiindulási állapotból fa struktúrálisan felrajzolja, hogy egy fájlt hány helyre másoltak és ott mi történt vele. (Ezt mondjuk még nem sikerült használhatóan kipróbálnom, de vannak már biztató jelek :)

De nem is ez a durva, hanem az, hogy a konkrét fájlművelet mellett naplózza az usert is aki azt csinálta, plusz az alkalmazást is amivel csinálta. Ja és ezeket ugyanilyen bontásban tudja is tiltani. Meglehet csinálni, hogy pl egy fájl bármivel lehet olvasni, de irni csak egy konkrét programmal lehet, másolni csak egy másik programmal, átnevezni pedig csak egy harmadik programmal (és ahogy látom satöbbi kombináció).

Ahogy én megtudom állapitani az NTFS ACL-nél egy lényegesen használhatóbb jogosultsági modellt lehet vele összerakni.

( Nickname | 2005. 12. 11., v – 14:57 )

Hook

Lényeg, hogy van a kernel vannak driver-ek amik a kernelbe betöltődnek és van kb 15-20 fv, amit minden kernel-módú driver megvalósít. Nah, most a kernel és a driver közé épül be ez a kütyü, és ennyi. (Egyfajta proxy) Állítólag azt volt nehéz +csinálni, hogy elsőként őt töltse be a dózer, de aztán...
Windóz Driver SDK-val csinálhacc ilyet, szimpla C-ben, oszt VMWare-ben kipróbászod. Nem nagy cucc, csak egy kézenfekvő 5let, mind minden a kerék és a nulla óta. :-D
http://www.beyondlogic.org/
microsoft.com/whdc/driver/filterdrv/default.mspx
ez itt linyux-szagú :
user-mode-linux.sourceforge.net/projects.html
[url]www.kevinboone.com/linux_kernel_file_0.html[url]

( csillaglyuhasz | 2005. 12. 11., v – 15:54 )

[quote:2024828f25="Nickname"]... Állítólag azt volt nehéz +csinálni, hogy elsőként őt töltse be a dózer, de aztán...

Wow, ezt hol találtad ? Mármint hogy ezt volt nehéz megcsinálniuk. Vagy ismered a fejlesztőket ?

( Bali v | 2005. 12. 11., v – 23:28 )

[quote:55fe9bac8b="ghost"][quote:55fe9bac8b="8192Joco"]Ja nekem meg ki írt olyant a gép hozzáférés megtagadva.
És rendszer tudom hogy naploz mert kűlönben miért hivnák naplózó fájlrendszernek.

Hát az más miatt van, a műveletek egy belső naplóba kerülnek, a tranzakciókezelés miatt, de egy fájl átmásolása mondjuk bájtonként igen sok naplóbejegyzést igényel. Ezt nem lenne ideális követni, sokkal könnyeb az open és a close követése.

egyebkent nem belso naploba kerulnek, meg nem arrol szol hogy most logolja a userek tevekenyseget fs szinten...hanem az egesz filerendszer egy barominagy naplofile, amit csak hozzafuzessel, szekvencialisan ir a rendszer a filerendszerben valo valtozasokkor. (es ezert hivjak naplozo filerendszernek) az egesz lenyege, hogy folyamatosan lehet irni/olvasni a naplot, ezert nem io muvlet korlatozott annyira a gep es elegge hibaturo, mivel ha elszall a masina, csak a naplofile vegen lehet a hiba, csak azt kell ellenorizni.