» »

Fedora in Red Hat strežniki kompromitirani!

1
2
»

Poldi112 ::

>No, ze v prvem odstavku si napisal,da je problem v tem, da si uporabnik da root pravice. Ne vem kaj bi blo tu drugač med windows in linux.

Razlika je ogromna. Ravno to da je Win implementacija tako brutalno nadležna (in na to so debili celo ponosni) je razlog, da se izklaplja UAC. Nihče na Linux mašini ne dela kot root. Ne samo ker bi bilo to neumno, ampak ker nima nobenega razloga za to.

>Tisto, ko si napisal, da mora virus najprej ugotovit na kateri distribuciji je, je pa prej slabost kot dobra stvar. Ker mora to ugotovit tudi vsak drug program. Ampak sej ponavadi se niti ne potrudi.

Distribucija skrbi za programe. Oz za tisto večino, za katero ima source. Tako da programu ni treba nič. Nisi ti preveč na tekočem, ane?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

MrStein ::

BigWhale:
Piscu virusa pa res ni težko zraven switch za statično linkanje dat, mislim koji argument.

Ugotoviti katera distribucija...

No ja, sem že nekaj "univerzalnih" binarijev pognal in so lepo "ugotovili" katera distribucija je in so delali. Tudi ni ne vem kaki problem.

Glede roota: A se na modernih distrotih ne pojavi taki dialog : "za nadaljevanje vpiši svoje geslo" in potem laufa z root pravicami ? (še celo tisti fade-in/out ima ;))
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Utk ::

Poldi, kam pa pridemo, če mora vsaka distribucija skrbet za vse programe, ki jih kdo naredi? Pa še source rabi. Kot da je kje z zakonom določeno, da na linuxu lahko samo opensource laufa. In programov je enostavno preveč, da bi kdo skrbel za njih.
Win implementacija ni nadlezna, problem je samo, ker ni navade, da bi se drzali tega, kar je zamišljeno. Programi ne bi smeli pričakovat, da je uporabnik root pa bi blo vse rešeno. Vsak uporabnik ima tudi na windowsih svoj home, drugje pa nima kaj praskat.

BigWhale ::

BigWhale:
Piscu virusa pa res ni težko zraven switch za statično linkanje dat, mislim koji argument.

Ugotoviti katera distribucija...

No ja, sem že nekaj "univerzalnih" binarijev pognal in so lepo "ugotovili" katera distribucija je in so delali. Tudi ni ne vem kaki problem.

Glede roota: A se na modernih distrotih ne pojavi taki dialog : "za nadaljevanje vpiši svoje geslo" in potem laufa z root pravicami ? (še celo tisti fade-in/out ima [;)])


Gre za to, da imajo distribucije ena do druge razlicne verzije programov, knjiznjic,..., ki bi jih nekdo lahko izkoristil. Razdrobljenost je v skodo piscem virusov... :)

No, ne vem v katerih modernih distribucijah se naredi tak fade-out. V Kubuntu 8.04 se ne.

BigWhale ::

Poldi, kam pa pridemo, če mora vsaka distribucija skrbet za vse programe, ki jih kdo naredi? Pa še source rabi. Kot da je kje z zakonom določeno, da na linuxu lahko samo opensource laufa. In programov je enostavno preveč, da bi kdo skrbel za njih.


Emm, v bistvu je programov tocno toliko, da se lahko za njih se poskrbi. V debianu ima vsak program svojega package maintainerja. Ce nekdo preneha skrbeti za kak program/paket, se le-tega vrze ven iz distribucije.

S taksnim pristopom zagotovis, da ima distribucija vedno vse pakete vzdrzevane.

Utk ::

Ja v distribuciji ja, sploh ne dvomim, ampak niso vsi programi tam. Kot da si ne smem potegnit programčka iz ene tretje strani, ali ga pa celo sam naredim.

BigWhale ::

Lahko ampak, kot sem ze rekel, potreb za to res ni veliki. Pravzaprav jih skorajda ni. Poleg tega se vecino programov distribuira v source obliki. Nujno ni, je pa skorajda vedno tako.

techfreak :) ::

Debian je na tekočem? OMG LOL

To je primer distribucije, ki res nikakor ni na tekočem. Rabijo 1 leto in tudi več, da ponudijo nove izdaje programov.

Če uporabljaš Debian, je res bolje kar direktno iz interneta downloadati in prevesti, ker je njihov package manager zastarel (paketi na njem).

redo ::

Debian je na tekočem? OMG LOL

Saj veš za Debian experimental repository, kajne?

To je primer distribucije, ki res nikakor ni na tekočem. Rabijo 1 leto in tudi več, da ponudijo nove izdaje programov.

Kateri paket pa pogrešaš, ki ga ni v testing, unstable ali experimental in ki ni izključen zaradi težav z licenco?

Če uporabljaš Debian, je res bolje kar direktno iz interneta downloadati in prevesti, ker je njihov package manager zastarel (paketi na njem).

Ubuntu je snapshot debian unstable ob določenem trenutku. Je Ubuntu tudi zastarel? Ali samo nimaš pojma, o čem govoriš?

MrStein ::

BigWhale:
V Kubuntu 8.04 se ne.

V Ubuntu 8.04.1 pa se ;)

Še vedno mi ni jasen problem z distribucijami.
Program počisti /home , pošlje pomembne podatke na evil.com, pa še par svojih kopij naokrog pošje (mail, irc, itd...)

Nadaljujem:
mail naslove seveda posnifa iz ~/.addressbook
outgoing connection na neki.smtp.server port 25 ni problem.

Še root ni problem. Če je pred skripto uporabnik uporabljal sudo, skripta dobi root takorekoč avtomatsko. Če ne, pa pač napiše nekaj v stilu "Za instalacijo moraš vpisat svoje geslo(kot vedno)" in se požene sudo (uporabniku znan in "varen" program).

Mojbog, že vidim obraze linuxačev pri prvem outbreaku : "Pri Linusu! Tega pa nismo pričakovali!" :))

PS: A vam tudi v ubuntu/ff tako čudno dela selekcija teksta ???
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Poldi112 ::

Neukemu uporabniku sudo ni ravno poznan. In če ni on zahteval neke instalacijo je precej možnosti, da mu bo to sumljivo. Še več pa da sploh ne bo vedel, kateri password zadeva hoče.

Zakaj bi malware hotel počistiti /home mi tudi ni jasno. Da bo user naredil reinstall? In dobiti seznam mailov navadno ni tisto za kar te okužijo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

phantom ::

1. Nekaterim ljudem ni jasno, da na linuxu navaden uporabnik ne more imeti root privilegijev. Lahko le požene program pod root-ovim accountom, če vpiše geslo. Root privilegije ima samo root. Na večini distrubucij se tudi ni mogoče logirati kot root v grafičnem načinu. V Ubuntuju pa se root sploh ne more logirati.
Tista, da bi ljudje ves čas delali pod root accountom, je za lase privlečena, ker kaj takega bi padlo na misel le kakšnim newbiejem, ki pa itak ne bi znali root accounta odblokirat. :D

2. Razni fancy fade-in/fade-out programčki za vpis gesla pa izpišejo kater ukaz poganjaš pod rootom, od kjer bi se hitro videlo, da je program virus. Inštalirani ukazi se namreč nahajajo v poti in pred njimi ni potrebno pisati celotne poti do ukaza. Če pa bi bil virus, bi moral pred izvršljivo datoteko napisati celotno pot, ki pa bi bila nekje v home ali tempu. To bi moralo biti vsakemu kolikor toliko poučenemu uporabniku skrajno sumljivo.

3. Okno za vpis gesla se prikaže kadar poženeš program pod rootm. Če bi se ti to okno odprlo kar naenkrat, npr. med brskanjem po netu in bi hotlo pognat nek "čuden" program, ki ga sploh nisi kliknil, bi bilo tudi precej sumljivo, a ne?
[ups, me je že poldi prehitel]

4. Šibka točka je predvsem, ko v konzoli vpisuješ geslo za su/sudo. Takrat konzola ne zahteva grab-modea od X11 in drugi programi ti lahko prestrežejo geslo, ki ga vtipkaš. Rešitev so programi za vtipkavanje gesel (gksu/gksudo (to je tisti fancy fade-in/fade-out program za geslo iz gnome-a), kdesu, seahorse ter pinentry-xxx za gpg). Še vedno pa ti lahko virus ponaredi okno za vpis gesla.
To bi se dalo rešit podobno kot na windowsu, ko je treba pritisnit alt-ctrl-delete pred prijavi, pa tudi za UAC se da to naštimat. Okno za vpis gesla bi moralo biti vgrajeno v X11 in preden bi vtipkal geslo bi pritisnil alt-ctrl-backspace ali kaj podobnega. To eden redkih varnostnih mehanizmov, ki je na windowsu boljši.
~
~
:wq

Zgodovina sprememb…

  • spremenil: phantom ()

fiction ::

Nekaterim ljudem ni jasno, da na linuxu navaden uporabnik ne more imeti root privilegijev.

Uporabnik bi se teoreticno lahko cisto lepo direktno prijavil kot root in vse delal kot root. Da se mu to ne pusti je stvar raznih nastavitev npr. v /etc/securetty pise na katerih terminalih se root lahko prijavlja v /etc/ssh/sshd_config je nastavitev, ce se dovoli root login preko sshja. In to je dobro - saj se le tako uporabnika pripravi, da vecino casa dela z omejenim uporabniskim racunom in postane root le takrat ko je to res nujno. Poleg varnosti je to se neke vrste zascita pred samim sabo.

Root privilegije ima samo root.

Root privilegije ima katerikoli uporabnik z UID-jem 0. :)

2. Razni fancy fade-in/fade-out programčki za vpis gesla pa izpišejo kater ukaz poganjaš pod rootom, od kjer bi se hitro videlo, da je program virus. Inštalirani ukazi se namreč nahajajo v poti in pred njimi ni potrebno pisati celotne poti do ukaza. Če pa bi bil virus, bi moral pred izvršljivo datoteko napisati celotno pot, ki pa bi bila nekje v home ali tempu. To bi moralo biti vsakemu kolikor toliko poučenemu uporabniku skrajno sumljivo.

Kje oz. kako pa vidis da je program virus? PATH spremenljivko okolja lahko uporabnik (tako kot tudi zlobna koda, ki tece s privilegiji uporabnika) popravlja.

Najlazje je kar /tmp in /home mountati kot noexec - se mi zdi da je BigWhale to ze omenil enkrat.
Ali pa pouciti uporabnike.

3. Okno za vpis gesla se prikaže kadar poženeš program pod rootm. Če bi se ti to okno odprlo kar naenkrat, npr. med brskanjem po netu in bi hotlo pognat nek "čuden" program, ki ga sploh nisi kliknil, bi bilo tudi precej sumljivo, a ne?

Hja ce uporabnik sam downloada neko izvrsljivo datoteko in jo pozene, potem mu nic ni sumljivo.
Najti je treba pac samo en dosti prepricljiv argument zakaj ga program sprasuje po geslu. Ne vem, "Za namestitev tega programa je potrebno pisati v /usr/bin kamor iz varnostnih razlogov lahko pise samo administrator. Geslo: ".

MrStein ::

phantom:
To eden redkih varnostnih mehanizmov, ki je na windowsu boljši.

UAC ne zahteva ctrl-alt-del. Login tudi ne. O čem ti to ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Utk ::

Lahko si naštimaš, da zahteva. Tako kot si lahko naštimaš, da nimaš skoz admin pravic. Pa tega skoraj nihče ne naredi, na windowsih. In tist, ki na windowsih odpre vsak Paris Hilton screensaver, se mu ne bo niti na linuxu sanjalo, kaj pomeni, če bi nek program v tempu rad imel root geslo. 2. in 3. točka phantoma pač ne zdrzi. Drzi pri tistih, ki nimajo stem niti na windowsih problemov. Tudi prva točka ni ne vem kaj. Ne moreš se zanašat na nastavitve. Kot rečeno, s pravimi nastavitvami je tudi windows dost varen.

Zgodovina sprememb…

  • spremenil: Utk ()

BigWhale ::

BigWhale:
V Kubuntu 8.04 se ne.

V Ubuntu 8.04.1 pa se [;)]



Upam, da se to ne bo razlezlo v Kubuntu oz KDE in da se bo dalo izklopit. Drugace bom sproduciral patch... ;>


Še vedno mi ni jasen problem z distribucijami.
Program počisti /home , pošlje pomembne podatke na evil.com, pa še par svojih kopij naokrog pošje (mail, irc, itd...)
Nadaljujem:
mail naslove seveda posnifa iz ~/.addressbook
outgoing connection na neki.smtp.server port 25 ni problem.

Še root ni problem. Če je pred skripto uporabnik uporabljal sudo, skripta dobi root takorekoč avtomatsko. Če ne, pa pač napiše nekaj v stilu "Za instalacijo moraš vpisat svoje geslo(kot vedno)" in se požene sudo (uporabniku znan in "varen" program).


Jaz izhajam iz dejstva, da instalacija 'kr enih' programov v vecini primerov ni potrebna. Ze uporabniki so med samo instalacijo distribucije na to pripravljeni: "Kar dobis od nas imas, ostalo je pa tako-tako". V Windows je bilo do sedaj precej lazje priti do sistema in se vkoreniniti v sistem, tudi pucanje taksnega sistema je vcasih precej tezko in ni preostali nic drugega, kot reinstalacija ali bootanje s posebnega CDja in ciscenje od tam.


PS: A vam tudi v ubuntu/ff tako čudno dela selekcija teksta ???


Na Kubuntu je vse ok... :)

BigWhale ::

Debian je na tekočem? OMG LOL

To je primer distribucije, ki res nikakor ni na tekočem. Rabijo 1 leto in tudi več, da ponudijo nove izdaje programov.

Če uporabljaš Debian, je res bolje kar direktno iz interneta downloadati in prevesti, ker je njihov package manager zastarel (paketi na njem).


Ne, da so na tekocem, da vedo kaj imajo in kdo skrbi za kak paket. Debian stable jaz prav lepo in uspesno uporabljam. Vsi tisti, ki ga tocno vedo zakaj ga. Debian stable ima razlog zakaj nosi oznako, da je stable.

MrStein ::

stable ?
A to je tisto, ko dva tedna pred release zamenjajo ključno komponento ? :))
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein> A to je tisto, ko dva tedna pred release zamenjajo ključno komponento ?

Za razliko od kakšnih drugih, ki v imenu QA pustijo not pokvarjeno? Ja, to je tisto.

phantom ::

Nekaterim ljudem ni jasno, da na linuxu navaden uporabnik ne more imeti root privilegijev.

Uporabnik bi se teoreticno lahko cisto lepo direktno prijavil kot root in vse delal kot root.

To je bilo mišljeno, da noben account razen roota ne more imeti rootovih privilegijev. Iz postov nekaterih ljudi je bilo razvidno, da mislijo, da se da tudi na linuxu kateremkoli uporabniškem računu nastaviti root privilegije.


Root privilegije ima samo root.

Root privilegije ima katerikoli uporabnik z UID-jem 0. :)

In uporabnik z UID 0 je lahko samo eden in ta je root :). OK, username se sicer res da spremenit, sam potem ti nekatere stvari ne delajo več kot bi morale.


Kje oz. kako pa vidis da je program virus? PATH spremenljivko okolja lahko uporabnik (tako kot tudi zlobna koda, ki tece s privilegiji uporabnika) popravlja.


Moja napaka. su in sudo sicer kao počistita "nevarne" spremenljivke, samo PATH očitno ni med njimi.

Za UAC se da nastaviti, da je potrebno pritisniti ctrl+alt+delete.
Tudi pred login oknom je enako, vkolikor nimaš trotl-zihr login screena s sličicami uporabnikov (tako je bilo na XP in 2000, na Visti nisem probal).
~
~
:wq

techfreak :) ::

Jah naj bo stable, vendar so zelo stare verzije paketov tam notri. Pri drugih distribucijah so veliko hitrejši.

UAC je pač prednost, ki jo večina uporabnikov ne izklaplja. (Vsaj večina, ki jih poznam si ga ni izklopila)

jype ::

DejanL15> UAC je pač prednost, ki jo večina uporabnikov ne izklaplja. (Vsaj večina, ki jih poznam si ga ni izklopila)

Nenavadno. Jaz pa ne poznam nikogar, ki bi reč pustil vključeno.

Brane2 ::

4. Šibka točka je predvsem, ko v konzoli vpisuješ geslo za su/sudo. Takrat konzola ne zahteva grab-modea od X11 in drugi programi ti lahko prestrežejo geslo, ki ga vtipkaš. Rešitev so programi za vtipkavanje gesel (gksu/gksudo (to je tisti fancy fade-in/fade-out program za geslo iz gnome-a), kdesu, seahorse ter pinentry-xxx za gpg). Še vedno pa ti lahko virus ponaredi okno za vpis gesla.
To bi se dalo rešit podobno kot na windowsu, ko je treba pritisnit alt-ctrl-delete pred prijavi, pa tudi za UAC se da to naštimat. Okno za vpis gesla bi moralo biti vgrajeno v X11 in preden bi vtipkal geslo bi pritisnil alt-ctrl-backspace ali kaj podobnega. To eden redkih varnostnih mehanizmov, ki je na windowsu boljši.


V kernel magicku imaš podoben, če ne isti štos, s katerim lahko pobiješ vse procese v skupini, ki si ne lastijo trenutnega terminala IIRC.
Kombinacijo lahko sam določiš, je pa nekaj v stilu "three finger salute"...
On the journey of life, I chose the psycho path.

fiction ::

Root privilegije ima katerikoli uporabnik z UID-jem 0. :)
In uporabnik z UID 0 je lahko samo eden in ta je root :). OK, username se sicer res da spremenit, sam potem ti nekatere stvari ne delajo več kot bi morale.

Se zmeraj ne bo cisto drzalo :) Na FreeBSD-ju imas po defaultu uporabnika toor, ki ima tako kot root UID 0.
Problemi so samo zaradi braindamaged programov, ki ne preverjajo uid-ja ampak uporabnisko
ime v stilu if whoami != root. V principu imas lahko poljubno razlicnih uporabniskih imen
z istim id-jem - kar pomeni da bo za jedro vse skupaj isti uporabnik, medtem ko se bo ta
lahko se zmeraj prijavljal z razlicnimi uporabniskimi imeni in gesli. Za dva razlicna uporabnika zato ponavadi uporabis dva razlicna ID-ja sicer lahko en drugemu delata skodo.

UAC je korak na bolje, samo se zmeraj je prevec annoying in zaradi tega izgubi svoj smisel (ljudje ga bodisi izklopijo, bodisi pa vedno samo na slepo kliknejo). A ni nedolgo nazaj nekdo iz Microsofta potrdil da so vse skupaj vgradili predvsem zato, da bi "nervirali" uporabnike?

Ziga Dolhar ::

jype:

DejanL15> UAC je pač prednost, ki jo večina uporabnikov ne izklaplja. (Vsaj večina, ki jih poznam si ga ni izklopila)

Nenavadno. Jaz pa ne poznam nikogar, ki bi reč pustil vključeno.


A zdej se pa delaš, da me ne poznaš? ;-)
https://dolhar.si/

Zgodovina sprememb…

joebanana ::

Ja no treba bo v prihodnosti pisat cross-platform viruse. Pa portat une k so že za windowse spisani. lool

MrStein ::

jype:
Za razliko od kakšnih drugih, ki v imenu QA pustijo not pokvarjeno? Ja, to je tisto.

Aha, ne dajo nič na QA ? OK ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()
1
2
»

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft dodal OpenSSH v Windows

Oddelek: Novice / Operacijski sistemi		2310284 (6920) pegasus
»

OpenSSH client bug CVE-0216-0778

Oddelek: Informacijska varnost		132410 (2118) jype
»

Izšla Fedora 16 (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi		5911844 (9288) Ales
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost		104732 (3701) BlueRunner
»

OpenSSH za Windows in certifikat

Oddelek: Omrežja in internet		62238 (2238) Poldi112

Več podobnih tem