Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Info - Ставим точку на LLC Mail.Ru &Ko

Ответить
Настройки темы
Info - Ставим точку на LLC Mail.Ru &Ko

Забанен


Сообщения: 381
Благодарности: 33


Конфигурация

Профиль | Цитировать


Изменения
Автор: Reset5
Дата: 23-04-2016
Описание: обновлена ссылка
Данная тема не является каким либо "тайным знанием".
Она создана как гайд/шпаргалка для пользователей домашних ПК и тех кто обслуживает чужие ПК.
Ситуация с недобросовестным использованием ЭЦП известных софтверных компаний давно вышла из под контроля.
Например: компания Mail.Ru изготовила подписанный загрузчик, который совершенно "легально" скачивает нелегальную программу на ваш компьютер.
Скандалы, интриги и расследования, можно почитать на хабре: http://habrahabr.ru/post/172393
Вредоносная программа с лёгкостью запустится, потому что проактивная защита антивируса (для примера Kaspersky) в дефолтной настройке доверяет всем программам имеющим цифровую подпись.
Будьте бдительны! Даже если вы снимете злосчастную галочку, то на защиту какого нибудь "спутника_защитника_апдейтера_майл.ру", тут же бросится репутационный сервис KSN,
который основываясь на разрешающих или запрещающих правилах пользователей, вынесет вердикт: "разрешить". Интересно, да?
Миллионы мух не могут ошибаться ©



Далее. Производители ненужного и непонятного софта, вписали в свои инсталяторы путь %userprofile%\AppData. Это позволяет установить, например, браузер Амиго не имея прав администратора.
По сути, это portable-версия, которая просто разархивируется по указанному пути.
Конечно, на крупных предприятиях/учереждениях имеющих доменную структуру сети и штат администраторов, эта проблема не стоит.
Всё контролируется политиками безопасности и зарезаными в хлам правами пользователя.
В мелких одноранговых сетях, имеющих выход в интернет с аутсорсным администрированием вопрос стоит в полный рост.
Ещё дело осложняется использованием узкоспециального софта, который не желает понимать стандартное разделение прав пользователей и требует, например, прав уровня "опытный пользователь".
Такая ситуация сложилась и в той фирме которую я обслуживаю. Парк 8 машин + файлопомойка на дебиане + выход в сеть по АДСЛ.
Еженедельно я вычищал ОС от различных тулбаров, браузеров и "защитников". Надоело очень быстро и я начал искать решение.
Первое что пришло в голову, это использование KES v10 в котором присутствует необходимый функционал по контролю запуска приложений. Однако я рано обрадовался:
http://forum.kaspersky.com/index.php?showtopic=291424
Т.е. не работает. Когда исправят - не ясно. После последних обновлений из некоторых файлов метаданные стали извлекаться. Пробуйте.



Второе решение оказалось самым универсальным и наиболее правильным: использовать встроенные средства ОС windows, а именно: блокировку по сертификату.
Чтобы это сделать нужны сами сертификаты. За два-три дня я нашёл все наиболее распространённые в рунете тулбары etc/
Даю ссылку на архив с сертификатами и самими программами+WebaltaKiller:
https://www.dropbox.com/s/5n74mqsg3r...04.16.pfx?dl=1 - обновлено 23.04.16
для удобного сравнения "версий", добавлено хранилище сериализованных сертификатов:
https://www.dropbox.com/s/nxkg5e2meh...04.06.sst?dl=1 - обновлено 23.04.16
При открытии файла *.sst, можно наглядно сравнить, то что у вас уже установлено с тем что вы собираетесь устанавливать

Состав архива:



Описывать как выполнить настройку блокировки я не буду, предлагаю воспользоваться уже готовым:
http://macrodmin.ru/2011/10/kontrol-...enij-v-windows
Для Windows 7 всё так же, но предварительно необходимо включить опцию: "применять правила сертификатов"





А можно сделать ещё проще: не извлекая сертификат, установить его в хранилище сертификатов к которым нет доверия:



Проверить появился ли сертификат в хранилище можно так: пуск - выполнить - certmgr.msc





На этом у меня всё, спасибо за внимание и добра вам.
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:00, 16-08-2014

 
mwz mwz вне форума

Аватара для mwz

Ушел из жизни


Сообщения: 8595
Благодарности: 2127

Профиль | Сайт | Отправить PM | Цитировать


Цитата Reset5:
и самими программами+WebaltaKiller »
Спасибо.
WebaltaKiller -- есть на полгода посвежее (v1.2, видимо последняя; ссылка есть на борде).
Для коллекции (тоже иногда их тулбар задалбывает) можно взять ещё и сертификат Yahoo.

[мечтательно] А если ещё и скриптом оформить...

-------
Mikhail Zhilin


Отправлено: 13:01, 17-08-2014 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Периодически буду проводить обновление архива "полезных" программ и сертификатов.
Ссылка в первом посту будет меняться.
Ориентируйтесь на дату изменения поста.

Последний раз редактировалось Reset5, 23-11-2014 в 15:31.


Отправлено: 17:53, 02-11-2014 | #3


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Для удобства скачивания и установки, изменил состав архива на формат файла обмена личной информацией llc_block.pfx





Для установки данного файла пароль: 12345
Добавлены сертификаты Baidu, Yahoo и McAfee, Inc. (установка McAfee Security Scan Plus c Adobe Flash Player)
Внимание!
Тем кто использует антивирус от McAfee, необходимо удалить три сертификата из хранилища.



Ссылка на dropbox добавлена в первый пост.

Последний раз редактировалось Reset5, 29-03-2015 в 12:41.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:28, 29-03-2015 | #4


Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 6483
Благодарности: 1462

Профиль | Отправить PM | Цитировать


Цитата mwz:
А если ещё и скриптом оформить... »
А вот:
Код: Выделить весь код
certutil -f -addstore Disallowed "%~dp0cert.cer"
cert.cer - имя сертификата, %~dp0 - указание на путь, где лежит скрипт (вместе с конечным слэшем).
*.cer не работает, но, может, кто-нибудь подскажет, как скормить certutil текстовый список.

Также хотелось бы добавить в коллекцию:
Skymonk2
AlterGeo HTML5 Geolocation Provider

Дополнительно прилагаю таблицу названий хранилищ сертификатов (CertificateStoreName Enumeration)
Это сообщение посчитали полезным следующие участники:

Отправлено: 14:13, 02-04-2015 | #5


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Цитата DJ Mogarych:
как скормить certutil текстовый список »
Хм. А смысл? При наличии .pfx
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:17, 03-04-2015 | #6


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Обновил список сертификатов. Добавлены свежие от Baidu, OpenCandy, Babylon, MailRU, etc
Ссылка в первом посту.
Это сообщение посчитали полезным следующие участники:

Отправлено: 08:08, 03-10-2015 | #7


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Обновлено для Baidu, MailRU, iobit.
Напоминаю, перед установкой сертификатов, проверьте включена ли политика:



Если пункт "Политики ограниченного использования программ" у вас пуст, то кликните ПКМ - "создать", а потом - "применение".

Последний раз редактировалось Reset5, 10-12-2015 в 08:37.

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:20, 10-12-2015 | #8


Забанен


Сообщения: 381
Благодарности: 33

Профиль | Цитировать


Добавлены новые, интересные тараканы. И снова Comodo сертифицирует adware.
Обновляемся.

Отправлено: 13:10, 26-02-2016 | #9


Аватара для А_н_д_р_ей

Старожил


Сообщения: 459
Благодарности: 27

Профиль | Отправить PM | Цитировать


Надо ещё указать что это всё заработает только после перезагрузки системы. И что эти конторки сертификаты меняют как перчатки Пример PuntoSwitcher скачанный в 2014 году не запустился. А вот скачанный в этом году запросто.
Это значит сертификат в вашем архиве уже устарел...?




p.s А так, спасибо за инструкцию за архив. Не забывайте обновлять список

Скрытый текст
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=39388&start=0

-------
Подпись отключена.


Последний раз редактировалось А_н_д_р_ей, 02-03-2016 в 05:38.


Отправлено: 03:44, 02-03-2016 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Info - Ставим точку на LLC Mail.Ru &Ko

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] неполадки загрузчиков с LLC Mail.Ru? silalex Хочу все знать 10 28-06-2013 21:46
V. 2010 - Exchange 2010, не отправляются письма на mail.ru list.ru bk.ru snap096 Microsoft Exchange Server 4 24-06-2013 13:00
Функция mail() кодировка на сервисе mail.ru Колючка Вебмастеру 0 07-11-2012 09:17
Интернет - [решено] открывает только yandex.ru, mazda.ru, mail.ru Peutrov Microsoft Windows 7 2 11-10-2012 17:13
Прочее - открывает только yandex.ru, mazda.ru, mail.ru Peutrov Сетевое оборудование 2 11-10-2012 17:10




 
Переход