Твой образ милый и… дырявый

Правила гигиены

добавить в избранное

Твой образ милый и… дырявый

Прочитали: 10213 Комментариев: 51 Рейтинг: 75

5 марта 2019

«Антивирусная правДА!» однажды уже рассказывала о проблемах безопасности модной платформы Docker. Напомним, что Docker позволяет запускать приложения в изолированном окружении. То есть, грубо говоря, приложение вызывает нужные ему для работы библиотеки и иные ресурсы, и не обращается к системным ресурсам. Это очень удобно, например, для запуска приложения, если оно работает только с определенной версией какой-то библиотеки, не требующейся другим приложениям. Можно запускать устаревшие приложения, в том числе имеющие нужный пользователю функционал, удаленный в более поздних версиях.

В среднем контейнеры по сравнению с виртуальными машинами гораздо более многочисленны. Они легковесны, что позволяет запустить множество контейнеров даже на весьма скромном железе.

https://habr.com/ru/company/southbridge/blog/339126

И в этом плюсе кроется минус: устаревшие приложения и ресурсы имеют незакрытые уязвимости, и злоумышленники могут через них проникать в систему.

В Интернете можно найти немало Docker-образов, которые делают всевозможные полезные и классные вещи, но если вы загружаете образы без использования каких-либо механизмов доверия и проверки подлинности, вы по сути запускаете на своих системах произвольное ПО.

Откуда был загружен этот образ?
Доверяете ли вы его создателям? Какие политики безопасности они используют?
Есть ли у вас объективное криптографическое доказательство того, что образ был действительно создан этими людьми?
Вы уверены, что никто не изменил образ после того, как он был загружен?

https://habr.com/ru/company/southbridge/blog/339126

Плюс к этому платформа Docker это не полнофункциональная система виртуализации, когда для работы приложения используется полноценная операционная система. Нет, при использовании Docker все приложения работают в одной ОС, хотя и не имеют доступа к ее файлам. Точнее, раньше не имели.

Уязвимость, получившая идентификационный номер CVE-2019-5736, даёт заражённому контейнеру возможность перезаписать исполняемый файл runC на хосте и получить к нему root-доступ. Это позволяет такому контейнеру получить контроль над хостом и даёт атакующему возможность выполнять любые команды.

https://habr.com/ru/company/ruvds/blog/440096

Но присмотримся к новости: речь идет о «зараженном контейнере». В выпуске об Облаке Dr.Web мы показали, что обычный антивирус, установленный на сервере, где запускаются образы, отлично обнаруживает в них вредоносные программы. Получается, что проблема вновь не в уязвимостях, а в том, что администраторы серверов не используют средства антивирусной защиты.

#сервер #антивирус #корпоративная_безопасность #уязвимость #эксплойт

Антивирусная правДА! рекомендует

Уязвимости были, есть и будут, поэтому использовать антивирус критически важно в целях безопасности.
Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования.
Устанавливайте обновления, в том числе и для компонентов Docker.
Настройте ограничение прав. Запускаемые образы не должны иметь права доступа к ресурсам системы.

Термин «выход за пределы контейнера» (container breakout) используется для обозначения ситуации, при которой какой-либо программе, запущенной внутри Docker-контейнера, удается преодолеть механизмы изоляции и получить дополнительные привилегии или доступ к конфиденциальной информации на хосте. Для предотвращения подобных прорывов используется уменьшение количества привилегий контейнера, выдаваемых ему по умолчанию. Например, демон Docker по умолчанию выполняется под рутом, однако существует возможность создать пользовательское пространство имен (user-level namespace) или снять потенциально опасные привилегии контейнера.

https://habr.com/ru/company/southbridge/blog/339126

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Rider
23:05:44 2019-03-06

Настроить соответственно антивирус и спать спокойно )

achemolganskiy
07:27:05 2019-03-06

Что за Docker и что за зверь понятие не имею. Потому как без надобности.

razgen Собкор
00:52:59 2019-03-06

Ознакомился со всеми комментариями. Данный выпуск для меня, как и для большинства чисто для общего развития. Считаю, что изредка нужны и такие выпуски, чтобы расширять свой кругозор о проблемах безопасности.

orw_mikle
22:02:32 2019-03-05

Так и не понял, зачем вообще нужны эти Docker-контейнеры.

Lia00 Собкор
21:58:47 2019-03-05

чего только не бывает с программами...

Dvakota
21:15:55 2019-03-05

При таких проблемах, стоит ли рисковать используя такую платформу?

Andromeda
21:12:57 2019-03-05

Благодаря проекту, теперь знаю, что есть такая платформа Docker.

Шалтай Александр Болтай Собкор
20:10:45 2019-03-05

На соревновании фотографов наилучшим образом проявила себя фотоплёнка.

kozinka.ru Собкор
19:57:27 2019-03-05

Вот чем мне нравится этот проект так тем, что узнаёшь то, что просто так не встретишь, листая привычные странички интернета. Вот узнал теперь за Docker. Перешёл по куче ссылок, одна за другой потянулись - и вот я уже могу поумничать в курилке и о Docker-ах рассказать! Спасибо за просвещение!

Татьяна
19:40:03 2019-03-05

От уязвимостей защитит Dr.Web! Рекомендации будем выполнять, спасибо!

Toma
19:17:40 2019-03-05

Никогда не слышала о платформе Docker. Антивирус нужен всегда!

robot
18:48:10 2019-03-05

Раньше подобное называлось песочницей в антивируме Аваст. Потом этот функционал перестал работать.

Альфа
18:16:39 2019-03-05

Никогда не пользовался платформой Docker и первый раз о ней слышу.

Masha
18:13:07 2019-03-05

Раньше не слышала про Docker. Интересный выпуск!

Dmur
17:01:14 2019-03-05

Антивирус нужен обязательно!

EvgenyZ
16:25:31 2019-03-05

Действительно, уязвимости всегда будут. Но Dr.Web защитит!

Геральт Собкор
15:06:53 2019-03-05

Кто бы что ни говорил, но без антивирусов никуда.

anatol
14:34:39 2019-03-05

полностью согласен и присоединяюсь к мнению "любителя пляжного волейбола", а насчет обязательной проверки любых материалов из сети антивирусом мне не кажется, а точно уверен

Любитель пляжного футбола Собкор
13:48:50 2019-03-05

Никакими "докерами" не пользовался, раньше о них не слышал и не знаю, понадобятся ли они мне. Но при скачивании любых материалов из интернета, будь то образ программы, фильм, песня или фотография, обязательно перед открытием проверяю антивирусом. Так надёжнее, как мне кажется.

stavkafon
13:44:53 2019-03-05

Стараюсь обновляться в виртуалках тоже.

marisha-san Собкор
13:35:23 2019-03-05

Чем далее в спор, тем больше слов.

Zserg
12:59:18 2019-03-05

Не знал, что такое Docker. Но кто же будет латать дыры в ПО?

SGES Собкор
12:59:09 2019-03-05

Коль в счету что просчитаешь, то мошною доверстаешь.

Денисенко Павел Андреевич
12:45:35 2019-03-05

Никогда не знал что такое Docker. Надо почитать про него.

UrthamArRang
12:11:44 2019-03-05

Виртуальные машины уже не в моде?

B0RIS
11:47:54 2019-03-05

Актуальная злободневная тема защиты.В наше время без этого просто никуда. Надеемся на антивирус и обновляемся.

vinnetou
11:20:56 2019-03-05

Уязвимости были, есть и будут, поэтому антивирус необходим!!! Не забываем про обновления.

Неуёмный Обыватель Собкор
11:07:17 2019-03-05

@Alexander, да, слово интересное. Помню, в детстве в газете увидел, что набирают на обучение на докера во Владивостокское какое-то училище с последующим устройством на работу в порт. И сулили просто сногсшибательные (с точки зрения деревенского парня с глубинки) размеры зарплаты для будущих докеров. Наверно, месяца 3-4 втайне мечтал стать докером. Вот тогда я, порывшись в библиотеке в словаре, узнал, кто такой докер. Интернета тогда не было. :)

Alexander Собкор
10:49:23 2019-03-05

Docker - интересное слово. Основа, наверное, dock (анг. - пристань, порт, причал, док). Чего здесь только не происходит, - и контейнерные работы, и ремонтно-наладочные... и людей разных здесь можно встретить, бывает, и хулиганы шастают...

Также и с платформой Docker с контейнерами, - и дыры, и проходы, и уязвимости...

Использование Docker - это и удобно, и быстро, и модно... но... надо держать ухо востро! Dr.Web Security Space - это именно то, что, безусловно, должно быть на компьютере, в том числе, и при использовании платформы Docker.

I23
10:46:45 2019-03-05

Интересно об этом Docker, но использовать побаиваюсь

Oleg
10:41:35 2019-03-05

DrWeb всегда на страже.

maestro431
10:19:55 2019-03-05

Обновления и и еще раз обновления! И Антивирус!

aletoropov
09:51:53 2019-03-05

Использую Docker для веб-разработки. А как вредоносное ПО может выйти за пределы виртуализации?

Lenba
09:45:36 2019-03-05

Только антивирус разрешит все противоречия в использовании ПО

Ярослав
09:33:04 2019-03-05

С интересом прочитал, хоть и никогда не юзал этого докера и даже почемуто не слышал о таком)

I46
09:26:45 2019-03-05

Ищи cui prodest - кому выгодно, и всё образуется

Пaвeл Собкор
09:16:53 2019-03-05

Уязвимости были, есть и будут, поэтому использовать антивирус критически важно в целях безопасности!
Возражений нет!

dyadya_Sasha Собкор
09:12:51 2019-03-05

1.Уязвимости были, есть и будут, поэтому использовать антивирус критически важно в целях безопасности.

Использую и голова не болит.

2.Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования.

Всё что из вне должно проверяться антивирусом до начала использования этого всего. Хочешь "чистую" зону, пропускай всех с зоны "грязной" через КПП с тщательной проверкой.

3.Устанавливайте обновления, в том числе и для компонентов Docker.

Облегчите жизнь вашим сторожам-охранникам, закрыв дырки в заборе о которых они могут не знать.

4.Настройте ограничение прав.

Хоть и эффективная рекомендация, но не использую... и голова не болит.

sanek-xf
09:07:24 2019-03-05

Впервые услышала о платформе Docker и ее проблемах.

sgolden
08:38:28 2019-03-05

Где бы ни был скачан старый пакет программы его надо заново проверять.

blade79
08:35:54 2019-03-05

Стараюсь обновляться в виртуалках тоже.

Natalya_2017
08:32:53 2019-03-05

Вот казалось бы, простые и несложные рекомендации, но некоторые и такими пренебрегают, а потом - жалуются!

cpp
08:29:54 2019-03-05

Впервые слышу про некий докер. Интересно.

Неуёмный Обыватель Собкор
08:07:12 2019-03-05

Всё придется проверять.

Sasha50 Собкор
07:42:00 2019-03-05

Вот теперь и узнали о модной платформе Docker и ее проблемах.

Vlad X
07:38:09 2019-03-05

Не слышал о такой платформе,да и мне не нужна.

vkor
07:36:33 2019-03-05

Тысячу раз подумаешь, прежде чем следовать моде, используя популярные платформы.

ka_s
07:08:26 2019-03-05

Не знал о существовании платформы Docker, не пользуюсь и не предполагаю ее применять. С другой стороны, никогда не говори "никогда". Поэтому, выпуск "намотал на ус".

L1t1um
06:11:59 2019-03-05

Спасибо за выпуск! О модной платформе Docker ранее не слышал. Да и вряд ли буду ее использовать.

Korney
04:24:01 2019-03-05

Тоже не знал и не пользовал, да наверное и не буду.
"Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования." - а вот
этот пункт обязателен!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Твой образ милый и… дырявый

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей