solved: secure web surfing [offtopic]

[ndemou at gmail.com]

[βαρύγδουπο subject έ?]

Nick Demou wrote:
> Από όσα έχω προσέξει τα vulnerabilities που βασίζονται σε javascript
> είναι πολύ διαδεδομένα. Προσωπικά δεν ανησυχώ και τόσο[1] αλλά θα
> ήθελα να κάνω κάτι και για τους υπόλοιπους εντός του LAN μου οι οποίοι
> έχουν windows+ie και τους οποίους ακόμα κι αν τους πείσω να δουλεύουν
> σε firefox: [...]

συμβαίνουν και αυτά: βρέθηκε λύση η οποία (disclaimer προ της
υλοποίησης της) μοιάζει σχεδόν η τέλεια κομψή, λειτουργική και ασφαλής
μέθοδος σε περιβάλλον... windows [και φυσικά σε τσουχτερή τιμή:)] η
οποία συμπτωματικά βολεύει και τους linux clients του LAN. Η offtopic
λύση ακολουθεί για τους περίεργους:

Υλικά:
α) vmware
β) κάποια έκδοση MS windows server με επαρκείς remote desktop licenses
για όλους τους χρήστες ή XP με κάποιο πρόγραμμα που επιτρέπει πολλαπλά
remote desktop (κάτι υπάρχει με 150-200 ευρώ αν θυμάμαι καλά)
γ) ένας σχετικά γρήγορος και με μπόλικη μνήμη H/Y στο ρόλο server για
να τρέξει windows και πάνω σε αυτά vmware και πάνω σε αυτά windows
ξανά τα οποία θα έχουν ανοιχτό ένα windows session με explorer για
κάθε χρήστη του LAN (με τα τερατάκια που ψωνίζεις στις μέρες μας
εφικτό ακόμα και για πολλές δεκάδες χρήστες).

Εκτέλεση:
Στον server τρέχουμε κάτω απο vmware τα MS windows με ενεργοποιημένο
το remote desktop service στο οποίο συνδέονται όλοι οι χρήστες του
δικτύου (το shortcut για τον explorer έχει αντικατασταθεί απο ένα
shortcut προς το remote desktop client με το ίδιο εικονίδιο). Με το
που συνδέονται είναι ρυθμισμένος να τρέχει αυτόματα ο explorer ώστε
όλοι να κάνουν το σερφάρισμα τους. Το βράδυ το vmware σταματά, το
image ξαναφορτώνεται απο την αρχή από ένα καθαρό αντίγραφο και το
vmware ξαναξεκινά. Με το που ξεκινά είναι ρυθμισμένο να κάνει τα
updates του (πολύ γρήγορα λόγω proxy) και μετά ένα restart και ύστερα
περιμένει καθαρό και ενημερωμένο τους πρωινούς επισκέπτες. Η μόνη
συντήρηση που θέλει είναι μια φορά στις 4 με 8 εβδομάδες να κάνεις
shutdown το πρωί πριν συνδεθεί οποιοσδήποτε και να αντιγράψεις το
image στην θέση του καθαρού image αναφοράς για να μην έχει να κάνει
πάρα πολλά μαζεμένα updates.

Οι χρήστες μπορούν να βλέπουν οποιαδήποτε σελίδα, να την τυπώνουν στον
εκτυπωτή τους ή να κάνουν copy paste και . Ακόμα και να ακούν ήχο και
να βλέπουν λίγο πιο αργό ή με 16bit χρώμα video μπορούν. Με λίγα λόγια
κάνουν τα πάντα εκτός από κάτι: Αυτό που χάνουν είναι η seemless
ενοποίηση του browser με το υπόλοιπο desktop. Αν τρέχεις το rdp client
σε παράθυρο δεν μπορείς να του αλλάξεις μέγεθος. Αν τον τρέχεις σε
full screen δεν έχεις τόσο απλή αλληλεπίδραση με τα υπόλοιπα παράθυρα.
Μικρή ενόχληση αλλά υπάρχει.

Σερβίρισμα:
 - δώστε σε μερικούς χρήστες να διαβάσουν κάποια τρομακτικά νέα για
την άθλια κατάσταση στο internet (π.χ. ότι το 1/3 των Η/Υ είναι bots,
ότι τα 4/5 του spam σερβίρονται απο αυτά τα bots , ίσως κάποιες
φαντεζί ειδήσεις για DDoS attackes και χακεμένα passwords κτλ).
 - αναγκάστε τους να ακολουθήσουν κάποια άλλη άθλια μέθοδο η οποία
αυξάνει την ασφάλεια κατά το σερφάρισμα μέχρι να είναι έτοιμοι να
εξεγερθούν οπότε και εσείς κοιτάξτε τους στα μάτια δείχνοντας έντονη
συμπόνια και εξηγώντας ότι θα κόψετε τον κώλο σας να βρείτε λύση.
Μετά απο *τουλάχιστον* τρεις ημέρες και όχι νωρίτερα, ανακοινώστε
θριαμβευτικά ότι βρήκατε λύση που θα τους σώσει (καλύτερα να μεσολαβεί
και ΣΚ για να πείτε ότι το αφιερώσατε στην αναζήτηση)
 - Μετά αφιερώστε *τουλάχιστον* μία ημέρα για να κάνετε την δουλειά
σας στον σερβερ και τέλος πηγαίνετε σε κάθε χρήστη: αλλάξτε το
shortcut του explorer, κάντε demo σε όλα τα site που μέχρι τώρα δεν
παίζαν και έπειτα εξηγήστε του την νέα κατάσταση με απλό τρόπο
(αποφεύγοντας να αγγίξετε το θέμα της φαινομενικής παράνοιας του
remote connection σε ένα virtual pc για να κάνουν browsing). Τέλος
δείξτε του τα νέα keyboard shortcus
 - αν ο χρήστης τρέχει συνειδητά windows τονίστε την χρήση microsoft
προιόντων στη λύση σας και κάντε κάποια θετικά σχόλια για αυτά (σαν ας
πούμε... εμμ.... εδώ το 'χα.... τέλος πάντων κάτι θα σκεφτείτε :-P).
 - αν ο χρήστης τρέχει συνειδητά linux μην προσπαθήσετε να του πείτε
ότι η λύση αφορά το πρόβλημα "ασφαλές serfing" αλλά αντιθέτως στο
πρόβλημα "κ@λοsites γραμμένα για explorer". Κάντε λίγο κουτσομπολιό
για το πόσο άθλια είναι τα windows και παρομοιάστε την μέθοδο που
ακολουθείτε με καθημερινό format & επανεγκατάσταση - αυτό θα τον κάνει
να γελάσει και να έχει μια αρκετά θετικά διάθεση ώστε να μην προσέξει
το γεγονός ότι δεν θα μπορεί να κάνει copy-paste απο τις σελίδες που
ανοίγει στο rdesktop. Δεν ξεφύγατε αλλά θα κερδίσετε χρόνο.
 - κόψτε απο τον proxy την πρόσβαση για όλα τα PCs προς όλα τα sites
εκτός αυτών που έχουν ανάγκη για updates του λειτουργικού και των
προγραμμάτων τους.

Παραλλαγές:
το vmware είναι περιττό αν αφιερώσεις το PC σε αυτό και μόνο το σκοπό
(οπότε γλιτώνεις αρκετά resources σε μνήμη και cpu). Σε αυτή την
περίπτωση όμως γίνεται λίγο πρόκληση η αυτοματοποίηση τις διαδικασία
"αναγέννηση του φοίνικα απο τις στάχτες του" όπως ονομάζω αυτά που
γίνονται το βράδυ.