Slo-Tech - Po dobrem tednu ugibanj, namigovanji in špekulacij je Fedora Project team končno objavil uradno obvestilo v katerem je navedeno, da so bili njihovi strežniki kompromitirani. Čeprav so pri Fedori prepričani, da neznanim storilcem ni uspelo pridobiti t.i. "package signing key", so se vseeno odločili, da bodo ključ zamenjali. Integriteta arhivov (binary packages) naj ne bi bila spremenjena.
Vdor v strežnike pa so potrdili tudi pri krovni družbi Red Hat, Inc., vendar je v tem primeru napadalcem uspelo uporabiti pridobljeni "signing key" (ta je seveda drugačen od tistega, ki ga uporabljajo pri Fedori) in podpisati nekaj modificiranih (beri: backdoored) OpenSSH arhivov za RHEL4/RHEL5 sisteme. Pri RH zagotavljajo, da ni razloga za paniko, saj je "rizična skupina" omejena le na uporabnike, ki pridobivajo arhive z drugih lokacij in ne preko Red Hat Networka. Za vsak primer pa so pri RH objavili tudi shell script s katerim lahko uporabniki preverijo integriteto in legitimnost OpenSSH arhiva.
Moral of the story: sometimes you're in security circus whether you like it or not.
Dokler se ne ve kako tocno so vrdli v streznike je tole zelo kriticno. Mogoce gre za kaksen nov 0-day.
No, dokler se ne ve kako so vdrli, se ne ve. ;) Lahko je kriticno, ni pa nujno. Veliko vec moznosti, je, da so uporabili povsem veljaven account od nekoga, ki je imel dostop. Seveda kaj drugega ni izkljuceno.
So pa taki sistematski napadi precej zanimiva stvar.
Pa pravijo kako je Linux varen. Se niti ne spomnem, kdaj so nazadnje vdrli v Windows Update.
Bolj varen ni, samo do sedaj se še niso spravljali nanj tako pogosto in so vsi mislili kako varen je. Sedaj ko je pa tudi linux na udaru (če ga bodo res napadali bolj pogosto) se bo šele videlo o tej "varnosti.
Hehehe, še ena maratonska debata kater OS je bolši .
Sicer pa je primerjava z Oknovskim Updedjtom na mestu, malware lahko tako ali tako dobiš drugje v vsakem primeru (se pravi: primerjal sem dve storitvi med sabo, ne direktno OSov & brez namigovanja da so vdrli u pingvinje strežnike). Pa tudi, da so čakali en teden za uradno obvestilo mi ni jasno čemu, za kaj se je šlo so sigurno vedli prej.
1.) strežniki so bili kompromitirani na trivialen način (SSH brute force, odtujen admin pass, nezadovoljen uslužbenec, itd.) pa se skrbniki sramujejo priznati
Res problem poslati start_this_for_great_porno (BREZ .exe končnice, res velik problem, tak velik, da bo vse linuxače zaščitil pred vsem zlom tega sveta)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Sem mnenja, da tisti ki uporabljajo linux vedo kaj delajo ko brskajo po netu in čekerajo mejl.
Čakaj malo, a ni linux tudi dober za navadne neuke uporabnike? Kolikor vem, je čisto dovolj dober, če ga dobi tak uporabnik na računalu in z njim smao brska po spletu, email in kak word. Ampak to deluje, če ima vse v naprej nastavljeno, ali pa mu ob inštalaciji dela vse out-of-the box (oz. sploh ne ve da mu nekaj ne deluje).
Res problem poslati start_this_for_great_porno (BREZ .exe končnice, res velik problem, tak velik, da bo vse linuxače zaščitil pred vsem zlom tega sveta)
Vsaj zaenkrat je nivo znanja uporabnikov na precej visjem nivoju kot pri Windows sistemih. Potem je pa tukaj se precej drugih stvari, kjer bi en tak malicious executable tezko spisal, da bi povzrocil pretirano veliko skode v samem sistemu. Tak malicous exe bi moral najprej ugotoviti kje se je znasel in pridobiti local root sele potem bi se lahko razlezel po sistemu. Dokler mu to ne uspe je ciscenje taksnega sistema precej trivialno in vzame le nekaj minut casa.
Procentualno gledano, bi s tem dosegel precej manj uporabnikov kot s kakim podobnim Windows .exe-jem.
No, lahko bi pa razširili tudi .sh skripto (podobno installerjem za igre - jo zaženeš, moraš vpisati root geslo, ti odpre GUI), neuki uporabnik (ki ga zamika "500percent_faster_torrents.sh" ali kaj podobnega) bi vpisal geslo (ker bi dobil okence, ki trdi da aplikacija rabi geslo zato da se lahko inštalira) in pol ima težave :)
(seveda je tole samo hipoteza in je ne jemat resno :P )
Zakaj že? Saj niti nastaviti ne bo znal, da bi kde poganjal kot root. Pač, navaden uporabnik uporabi default vrednosti in pri takih je na win dosti bolj ranljiv.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zakaj že? Saj niti nastaviti ne bo znal, da bi kde poganjal kot root. Pač, navaden uporabnik uporabi default vrednosti in pri takih je na win dosti bolj ranljiv.
In zakaj bi moral tak 'exploit' sploh dobiti root access? Z default pravicami lahko neka shell skripta: a) Prebere vse dokumente nekega uporabnika (recimo ukrade poslovne skrivnosti) b) gre na kak irc in postane del botneta c) efektivno zbrise vse nastavitve/dokumente (navadni user ne bo vec resil situacije ce se to zgodi recimo)
IMHO, ko se bo linux dovolj razsiril, bo tole postala prava zurka. Morate se zavedati da pod linuxom nek 'navaden' win uporabnik niti pod razno ne ve kako pogledati ce tece kaj nedovoljenega na njegovem sistemu. Rootkiti so uporabni za streznike, kjer admini ponavadi(!) vedo kaj delajo in bi brez rootkita (modificiranih ps, top, shella, etc...) zadevo odkrili v parih minutah. Problem je tudi da se vedno velja (vsaj med rajo) da je linux 100% varen, in da recimo AV-ja sploh ne rabis. Kar je seveda res, ce se ti vsaj priblizno sanja kaj pocnes. Je pa isto tudi na Winsih potem. Da dejstva da velika vecina linux distrotov po defaultu ne blokira/filtrira outgoing prometa sploh ne omenjam.
Torej je Linux manj varen za navadnega uporabnika?
Za advanced uporabnika je pa potem tako vseeno, saj je sposoben katerikoli OS (skoraj) narediti varen ter varno uporabljati.
Potem Linux očitno ne more več trditi, da je zelo varen. Najbolj zanimivo bi bilo, da bi bili vsi trije glavni user OSi enako uporabljani. Vsak (Linux, Windows, OS X) okoli 30% uporabnikov. Potem bi se šele videli, kako je kateri varen.
Windowsov princip varnosti sploh ni slab, sigurno je pa bolj sodoben od linuxa (ki je pač star). Problem je samo, ker je implementiran z napakami. Ko bojo to enkrat popucali, ne bo nič manj varen od linuxa.
Sem mnenja, da tisti ki uporabljajo linux vedo kaj delajo ko brskajo po netu in čekerajo mejl.
Ne. Veliko uporabnikov ne ve kaj dela. Pa naj bodo na Linux, Windows, OS-X... ali pa kaj bolj "obskurnega"
ciljal sem na to da so uporabniki linuxa bolj "advanced" in ne na to da je linux slab.
Niso.
Ampak ko pride windows uporabnik na linux, bo zelo verjetno laufal vse skupaj kot root. Ali pa vsaj kot nekdo s skoraj istimi pravicami.
Ne. Marsikatera aplikacija ti bo do onemoglosti težila da je ne smeš poganjati kot root.
Torej je Linux manj varen za navadnega uporabnika?
Ne. V bistvu je ista pašta. No... linux je na malenkost boljšem položaju ker ti virus ne more (nja, lahko ti, ampak so možnosti res zeeeeeelo majhne) sesuti celotnega sistema. Lahko pa ti komot pobriše vse datoteke v tvoji lasti - paralelka z windows: ti pobriše Moji dokumenti (My Documents). In to je to. Če to pomeni da si bolj ali manj varen... je pa tvoja odločitev.
Drugače pa. A niso že enkrat podobno kompromitiral Debianove repozitorije? Prek ukradenega admin gesla. Vsaj nekaj takega se mi valja po spominu... mogoče kako leto nazaj.
Obstaja se: 3.) Nimajo pojma kako se je vse skupaj zgodilo in ker forenzicna raziskava ni obrodila sadov so lepo tiho.
Ce bi bili res shekani na trivialen nacin, bi to pomoje morali priznati, saj je to manj hudo za vse kot pa ce res obstaja kaksen 0-day, ki lahko prizadane tudi vse ne-RH (morda celo ne-Linux) uporabnike. Saj lahko malo obrnejo besede, da ne bo izpadlo kot da so totalni amaterji. Mogoce so pa nasli problem in hocejo vse skupaj lepo v miru analizirati, who knows.
Zanimivo, da se vse skupaj spet obraca v Linux / Windows flamewar. Nekako tako kot se na 24ur komentarji vedno v stilu levicarji proti desnicarjem, nima veze tudi ce gre za clanek o Paris Hilton :)
Nek tak servis za razposiljanje popravkov je vedno kriticen, saj je s pomocje tega mozno zelo efektivno razsirjati zlobno kodo in kompromitirati ogromno stevilo racunalnikov. To, da nobeden se ni slisal, da bi bil "Windows Update" shekan, se ne pomeni, da nikoli ni bil. Mogoce nocejo povedati, mogoce se sami ne vejo. Da ne govorimo o tem, da ce vdrejo v "update sistem" neke distribucije to ne pomeni nicesar glede varnosti samega GNU/Linux operacijskega sistema.
Trojanski konji, ki ciljajo na to, da jih bodo neuki uporabniki enostavno pognali so problem na kateremkoli OS (ubistvu gre bolj za neke vrste social engineering). Problem XP-jev je samo to, da vecina uporabnikov dela vse pod administratorskim racunom kar pomeni, da se malware lahko naserje zelo globoko in ga je prakticno nemogoce odkriti. Vista je v tem pogledu boljsa. Ampak se zmeraj je v prvi vrsti napaka pri cloveku, ne pri OS.
Shell skripta je malo beden nacin za razsirjanje, ampak ELF binary bi pa skoraj lahko bil ekvivalent "start_this_for_great_porno.exe" v PE formatu. Koncnica nima neke hude veze na UNIX-like operacijskih sistemih.
Za enkrat je pac trzni delez GNU/Linuxa prenizek, da bi se zlobnezem splacalo ciljati na to, pa tudi trenutno je pomoje med Linux userji vec uporabnikov bolj ozavescenih glede racunalniske varnosti. Kar pa se lahko kot posledica vedno bolj user-friendly distribucij v stilu Ubuntu hitro spremeni.
Res problem poslati start_this_for_great_porno (BREZ .exe končnice, res velik problem, tak velik, da bo vse linuxače zaščitil pred vsem zlom tega sveta)
Vsaj zaenkrat je nivo znanja uporabnikov na precej visjem nivoju kot pri Windows sistemih. Potem je pa tukaj se precej drugih stvari, kjer bi en tak malicious executable tezko spisal, da bi povzrocil pretirano veliko skode v samem sistemu. Tak malicous exe bi moral najprej ugotoviti kje se je znasel in pridobiti local root sele potem bi se lahko razlezel po sistemu. Dokler mu to ne uspe je ciscenje taksnega sistema precej trivialno in vzame le nekaj minut casa.
Procentualno gledano, bi s tem dosegel precej manj uporabnikov kot s kakim podobnim Windows .exe-jem.
Tu pa pridemo v protislovje, kjer linux g33ki promovirajo linux kot OS, ki ga lahko uporablja navaden uporabnik...??? Čak mal, neki ne štima. Linux uporabniki so že advanced, kaj je pol navaden uporabnik? Pitipaldi na vejici?
ELF infection/RPI/ptrace() sta dokazano primerna načina infekcije Linux mašin. Zakaj se torej niso razširil tudi Linux virusi? IMO, zato ker je baza uporabnikov premajhna. Nobody gives a damn really. V času, ko je dominiral *NIX je Rober Morris slikovito demonstriral where's the party. Drugačni časi seveda. Vendar so tudi časi Blasterja/Sasserja minili.
Res pa je tudi, da Linux ne uporabljajo tajnice, babice in otroci, ki klikajo na vse živo. OK, priznam, večina Linux uporabnikov je dejansko _varnostno_ bolj osveščenih od svojih Windows kolegov. Slednji se po večini zanašajo na AV-je in podoben useless bullshit.
Mimogrede, to sploh ni prvi podoben incident. Debian, Ubuntu in Gentoo so ravnotako bili žrtve podobnih napadov. Debian celo dvakrat. IIRC, je bil v vseh primerih vzrok neodgovorna administracija sistemov.
Edit: fiction me je očitno prehitel glede Linux uporabniške baze :)
@Liker: Trojaned binaries so danes "out" in v večini primerov neuporabni. Trenutno so aktualni LKM/DKOM rootkiti. Pa še tem se igrišče z vsako novo verzijo kernela zmanjšuje. Baje so lately zelo "in" kernel rootkiti, ki delujejo na principu hookanja debug registrov.
Pomoje greste ze vsi mal v extreme :) Velika verjetno je tu, da je nekdo izgubil kako geslo ali pa so prestregli geslo. Potem so se malo se poigrali in zdaj je celi bum. Ni vazno ker sistem je ... ce si zabit potem je velka verjetno, da se bo marsikej zgodilo.
Nevedni uporabnik bo virus spravil tako na Windows kakor tudi na Linux in OS X.
In če bi ljudi malo bolj poučili o tem, potem bi verjetno bilo manj težav. Poleg tega vsaj 2/4 normalnih ljudi klikne na link, kot je recimo dejanl15.something.com, ki ga prejmejo preko MSNja od xy različnih ljudi, ki jih poznajo. In ti ljudje bodo tudi izbrali, da naj odpre program, ki je na tistem linku.
Računalniško bolje osveščeni uporabniki, pa vedo, zakaj mu prikazuje okna, za vpis administratorskega gesla oz. za potrditev zagona/namestitve programa oz. dostopa do sistemskih datotek. In takšni uporabniki v večini ne bodo klikali vsepovsod, ker se zavedajo groženj itd.
Računalniško osveščen uporabnik + antivirusni program + požarni zid je zmagovalna kombinacija. Čeprav je še vseeno možno, da takšen uporabnik dobi nezaželeno kodo, vendar ni velika.
V podjetjih je seveda potrebno imeti na službenih računalnikih antivirusni program ter kakšen Deep Freeze ali Radix za sistemsko particijo, ter seveda dodaten požarni zid med računalniki in zunanjim svetom. Ter seveda morajo uporabniki vsaj malo poznati grožnje. Potem seveda v veliko podjetjih (vsaj večjih) imajo tako posodobitve manjši delay, saj jih dodatno pregledajo in se prepričajo, da ne vsebuje kakšne zlonamerne kode.
Operacijski sistem je pa tako samo orodje, s katerim se nekaj naredi. Vsi izboljšujejo varnost, vendar nikjer ni 100%. Nekateri pravijo, da je recimo Windows veliko bolj ranljiv, vendar je pa to predvsem zaradi tega, ker je več kot 90% navadnih uporabnikov na Windowsu/OS X in ne na Linuxu. Pisci virusev pa seveda predvsem ciljajo na platformo, kjer se lahko virus najbolj razširi. In tukaj je seveda potem žrtev Windows, saj ima največ takšnih uporabnikov. Tudi trojance, se splača uporabljati na operacijskih sistemih, kjer bi pridobili zaupne podatke. In v večini primerov je to seveda Windows.
Windows je samo neka nedolžna žrtev, ki ima največ navadnih uporabnikov in je zaradi tega tudi bolj ranljiva.
Nobeden nikoli ni moral trditi, da je neka rešitev 100% varna. Niti v svetu računalništva, niti kje drugje. Strokovnjaki se trudijo poskrbeti za varnost, vendar 100% varne rešitve ni.
In nevedni uporabnik bo tudi v Linuxu vpisal root geslo kamorkoli bo lahko.
Torej je Linux manj varen za navadnega uporabnika?
[Pobrisana opazka o drobnici...]
Nekemu zlonamernemu programu v Linxu bo precej tezje priti do sistemskih pravic, kot pri Windows Visti. Za UAC se je izkazalo, da je close-to-useless, ker ga vecina uporabnikov, ki to lahko stori, enostavno izklopi, svojemu uporabniskem racunu pa podeli administratorske pravice. Mnjah. Poleg tega lahko navaden uporabnik naredi bistveno vec skode na nekem povprecnem Windows racunalniku. Vista je stvari nekoliko omilila z UAC, ki pa je, na zalost, prevec nadlezen, da bi ga ljudje resnicno uporabljali. (PS: A kdo ve kako se izklopi tisto trapasto pocasno zatemnjevanje in utripanje ekrana preden se dialog za username/password odpre?)
Sicer pa, /home particija bi morala biti obvezna in priklopljena z noexec parametrom. Uporabnik nima kaj poganjati stvari, ki se nahajajo v njegovem home direktoriju in niso namescene 'z zegnom' root-a.
CrniE,
Windowsov princip varnosti sploh ni slab, sigurno je pa bolj sodoben od linuxa (ki je pač star). Problem je samo, ker je implementiran z napakami. Ko bojo to enkrat popucali, ne bo nič manj varen od linuxa.
Zjasni se no. Da povzamem, Windows varnostni princip ni slab in je po tvojem mnenju bolj sodoben od linuxa (ker je linux star?!), problem je samo v tem, da je narejen napol kmetavzarsko z napakami (Windows princip) in ko ga bodo enkrat popucali bo vsaj tako varen kot linux princip?
Sem te prav razumel? Mislim, ne vem, ker te v bistvu sploh nisem razumel. Kaj hudica si sploh hotel povedati?! Da so Windows principi boljsi od Linux principov, ker so novejsi ampak, da so vseeno slabsi, ker so preslabo implementirani?
MrStein,
[Se ene pobrisana opazka...]
Aha, torej linux ni bolj varen, le bolj pametne uporabnike ima ?
Ne, linux je bolj varen in se pametnejse uporabnike ima (v povprecju seveda).
.. tak malicous exe bi moral najprej ugotoviti kje se je znasel in pridobiti local root ...
Enako kot na drugem OS ...
Ne, v Windows je v vecini primerov dovolj, da kar izvedes tisto kar bi rad, saj je v glavnem skoraj vsak uporabnik kar administrator. Poleg tega, ce naredis program, ki se pozene na neki random linux masini, mora preveriti katera izmed desetih moznih distribucij je, kaj vse je tam, in tako naprej. Precej vec dela, kot na neki random Windows masini. Program mora biti staticno linkan...
Torej linux ni bolj varen, le manj ga je ?
Ne, bom se enkrat povedal. Oboje. Manj ga je in bolj varen je. Enostano je drugace zasnovan. O varnosti so zaceli v MS razmisljati sele pri XPjih. Pa so takrat ene tri flike naliman na ceu paket. Zdaj z Visto so se pa ze bolj potrudili, so kar cel paket v folijo zavili. Na zalost je ta folija taka, da te ovira pri dihanju zato jo prakticno vsak uporabnik kar raztrga...
No, ze v prvem odstavku si napisal,da je problem v tem, da si uporabnik da root pravice. Ne vem kaj bi blo tu drugač med windows in linux. Windows in linux imata nek model varnosti. Oba modela sta v principu varna, problem je samo, da ima(ta) napake v implementaciji. Ne vem kako ti to kot programerju ni jasno. Res neverjetno. Sploh se naprej brez veze pogovarjat, če se tako neumnega delaš, sploh pa če si celo res. RSA je tudi v principu popolnoma varna stvar, ampak implementacije oz. programi, ki to uporabljajo, imajo (lahko) napake. Tisto, ko si napisal, da mora virus najprej ugotovit na kateri distribuciji je, je pa prej slabost kot dobra stvar. Ker mora to ugotovit tudi vsak drug program. Ampak sej ponavadi se niti ne potrudi. In varnost sploh ni samo odpornost proti virusu. To je itak čist nepomembno, ker če jaz zazenem nek program, je logično, da lahko naredi karkoli s vsem, do česa imam dostop. Ne vem kje je tu razlika med OS-i. Varnost pomeni tudi-predvsem nevtikanje procesa v drug proces itd.
OSX je bolj kot linux kot windows. Za OS-x, ki ima iz vidika spreminjanja sistema in njegovega razumevanja najbolj neumne uporabnike, ima precej manj nadlog, kot so virusi.
Da pa seveda tudi linux ni 100% varen (in se tu pa tam kaj zgodi), priznajo tudi največji linuxaši.
Kakorkoli tle sovražli linux, ne morete pri zdravi pameti (ki je ne zamegli pretirana čustvenost) reči, da je windows bolj varen.
