» »

The end of an era

The end of an era

denial ::

OK, tole ne spada med security, but whatever...

Nekoč so Linux uporabniki veljali za geeke. Nato je prišel Ubuntu. Danes so navadni Lintendo userji.



PS: na srečo cat /dev/urandom > /dev/hda še vedno deluje. Vsaj do Karmic Koala.
SELECT finger FROM hand WHERE id=3;

Icematxyz ::

OK, tole ne spada med security


Pa vendar si dal v oddelek informacijska varnost?

Kaj ti je po 2 "securtiy" bugih ki si jih našel v linuxu v prejšnih dveh temah in si jih vrjetno zbrskal nekje na internetu v tej kampanji zmajnkalo materiala pa pod pretvezo nečesa drugega skušaš sedaj dokazovati kako zanič je linux z vidika varnosti?

Bom ti tako odgovoril. Samo 1 Drupal ki je pač nek open source CMS in ki je pika na i v vsem skupaj skoraj mesečno izda security popravke. Kaj šele druge popravke.

Torej te še enkrat vprašam. What is your point? Če najdeš bug povprašaj najprej na forumih če je "bug" plod tvojega neznanja ali je dejanski bug. Nato če je dejanski bug in če čutiš potrebo to prijavi.

A Microsoft z svojo politiko počne kaj drugega in je majn "bugast" OS? Koliko popravkov zaradi varnosti oziroma drugih stvari ki niso delovale je doživel trenutni desktop OS ki ima največji procent na tržišču? Kakšne številke bugov je vsak SP Viste odpravil? Zagotovo več kot 3? Pa še ni konec obdobja Microsofta?

In ti sklepaš da bo ta tvoj "bug" ki si ga našel pomenil konec ere linuxa?

fiction ::

Samo 1 Drupal ki je pač nek open source CMS in ki je pika na i v vsem skupaj skoraj mesečno izda security popravke. Kaj šele druge popravke.
In.. what is your point? ;) Tukaj si ti namrec prvi, ki je zacel s holy OS warom, denial ni mislil konec ere GNU/Linuxa, ampak konec ere, ko je vsak uporabnik GNU/Linuxa se vedel kaj pocne. Je pa zanimivo kako se vsak takoj cuti prizadetega, posta pa vseeno ne prebere do konca. Za razliko od vecine ljudi tukaj namrec denial kljub provokativnosti ne povelicuje samo ene strani.

Ta tema ni o varnostni ranljivosti, ampak o varnosti bolj na siroko... varnosti, ki naj bi jo neizkusenim uporabnikom nudil popravek v paketu GNU coreutils. Ta onemogoca tudi root-u "rm -rf /", kar je po svoje neke vrste security-through-obscurity,
ker se da podatke na disku uniciti se na najmanj tisoc drugih nacinov (recimo s pomocjo omenjenega dd-ja). Je pa mogoce zadeva vseeno uporabna, ker se lahko hitro zgodi "rm -rf / /tmp/foo" typo. Zlobni presledek lahko po nesreci pritisne tudi nekdo, ki ve kaj pocne.

"2.9 Treating / specially
========================

Certain commands can operate destructively on entire hierarchies. For
example, if a user with appropriate privileges mistakenly runs `rm -rf
/ tmp/junk', that may remove all files on the entire system. Since
there are so few legitimate uses for such a command, GNU `rm' normally
declines to operate on any directory that resolves to `/'. If you
really want to try to remove all the files on your system, you can use
the `--no-preserve-root' option, but the default behavior, specified by
the `--preserve-option', is safer for most purposes.

The commands `chgrp', `chmod' and `chown' can also operate
destructively on entire hierarchies, so they too support these options.
Although, unlike `rm', they don't actually unlink files, these commands
are arguably more dangerous when operating recursively on `/', since
they often work much more quickly, and hence damage more files before
an alert user can interrupt them. Tradition and POSIX require these
commands to operate recursively on `/', so they default to
`--no-preserve-root', but using the `--preserve-root' option makes them
safer for most purposes. For convenience you can specify
`--preserve-root' in an alias or in a shell function.

Note that the `--preserve-root' option also ensures that `chgrp' and
`chown' do not modify `/' even when dereferencing a symlink pointing to
`/'."

Zgodovina sprememb…

  • spremenil: fiction ()

Icematxyz ::

Če bi prebral zadnje 3 prispevke uporabnika denial od katerega sta 2 sodila v oddelek informacisjka varnost ta pa že vprašanje kam sodi potem mislim a bi bilo neko očitanje meni da delujem čustveno in si ne preberem trditev do konca odveč.

Sam se samo oglasim da na naslov kot je:

The end of an era


Ali pa:

The saga continues


Ali pa:

Total pwnage


Odvrnem to kaj mislim. Torej: What is your point?

Ker resnici na ljubo po total pwnagu, kateri se je nadeljeval kot saga in zajključil kot end of the era bi še kje res se sam prestrašil in začel vrjeti da linux ni varen OS.

fiction ::

FFS tukaj na Slo-techu je postalo priblizno tako kot na 24ur, ko se stalno kresejo mnenja levih in desnih. Ce nisi eno moras biti nujno drugo. Lahko si fan obeh strani, ali pa kritiziras napake pri obeh pa se mnogo vec moznosti je.

Če najdeš bug povprašaj najprej na forumih če je "bug" plod tvojega neznanja ali je dejanski bug. Nato če je dejanski bug in če čutiš potrebo to prijavi.
Si ne morem pomagati, da ne bi rekel: zamenjaj besedo "bug" s "provokacija". ;). Drugace si pa pozabil omeniti, da bi teoreticno lahko tudi sam odpravil bug in poslal odgovornim diff.

fiction ::

Ker resnici na ljubo po total pwnagu, kateri se je nadeljeval kot saga in zajključil kot end of the era bi še kje res se sam prestrašil in začel vrjeti da linux ni varen OS.
Sem ze omenil, da mi naslovi teh tem niso bili vsec, ker so bili prevec senzacionalisticni in so izgledali malo anti-linux biased. Normalen naslov bi poleg tega najbrz povecal branost tem in ozavescenost ljudi. Vseeno pa je bila njihova vsebina (oz. tisto kamor so linkali) precej poucna.

Vedno moras verjeti v to, da tvoj OS (ne glede na to katerega uporabljas) NI varen (kajte nobeden ni 100 %). Problem med Linux communitijem in ljudmi odgovornimi za varnost je ravno v tem zatiskanju oci pred realnostjo (v stilu, ne, te varnostne ranljivosti ni, moj svet je se vedno optimalen). Pomoje je bil to point postov: nekateri odgovorni pri Linuxu poskusajo downplayati varnostne ranljivosti (kar se seveda dogaja tudi v MS taboru ali pa kje drugje). Bug, ki izgleda cisto nedolzen se vseeno da uporabiti kot remote root exploit.

Zgodovina sprememb…

  • spremenil: fiction ()

Icematxyz ::

In ti hočeš reči sedaj da:

The end of an era

Ali pa:

The saga continues

Ali pa:

Total pwnage


Ni provokacija? Jaz se samo oglasim z enim razlogom v takšni temi. To je da ponovim da linux je varen OS. In da, tudi linux ima "bug". In to ne samo enega.

Morda je to provokacija morda ni. Morda pa misliš da je provokacija ravno zato ker so naslovi zadnjih 3 tem provokacija in tema kot takšna tudi celotna tema nastane avtomatsko provokacija?

Se pa strinjam s tabo da morda ni dobro da se oglasim v takšni temi in odgovarjam na provokacije. Ampak pač tudi na provokacijo se da odgovoriti razumno. In sam menim da mi to kar dobro uspeva. Če pa ob tem provokator dobi poplačano z kakšno kontra-prpvokacijo svoj trud ki je v nekih mejah normale pa tako menim da ga to bolj hrani kot jezi.

fiction ::

Nisem rekel, da v vsem skupaj ni kancka provokacije. Ampak morda za tebe vse skupaj izgleda veliko bolj provokativno ravno zato, ker ne razumes bistva.

Jaz se samo oglasim z enim razlogom v takšni temi. To je da ponovim da linux je varen OS.
Tocno _to_ je pomoje problem. Vsakic, ko nekdo rece "Linux sucks", se drug oglasi "Linux rulz", tretji "MS sucks", cetrti "MS rulz" in tako naprej dokler ne pride do splosnega flamewara, ki onemogoca kakrsnokoli nadaljnjo konstruktivno komunikacijo.

Zdaj si pa predstavljaj, da nekdo, ki ni troll na podlagi objektivnih dejstev rece "Linux jedro ima hudo varnostno ranljivost". Zgodba se bo vseeno ponovila. Do koncnih uporabnikov sploh ne pride vec "hey jedro x.y.z ima bug upgradajte na a.b.c pa bo vse ok", ampak "nekdo je zalil Linux, sigurno je bil MS fanboy", "Linux je 100 % varen".
Kar se tice varnosti si moras zapomniti, da nikjer ni 100 % varnosti, cim prej se bos sprijaznil z dejstvom tem bolje.

Za razvijalce je kvecjemu se bolj elegantno, ce jim ni treba reci "tukaj smo pa tole katastrofalno zamocili", ampak lepo potihem izdajo popravljeno verzijo. Z varnostnega stalisca to sicer neprofesionalno, ampak itak nobeden ne opazi. Ce nekdo na to opozori, ga pa itak ostali, ki ne razumejo njegovih argumentov, sflamajo.

Rezultat obojega skupaj? Hackerji na podlagi sprememb tocno vedo kaksne varnostne ranljivosti obstajajo in jih lepo izkoriscajo medtem ko so uporabniki prepricani o absolutni varnosti svojega sistema in se sploh ne trudijo s popravki. Zaradi drugega pa itak popravkov sploh ni, ker so jih razvijalci vgradili v cisto novo verzijo programa, ki ga distribucija ponavadi ne vkljuci takoj (ampak najprej nekaj casa sledi "nujnim popravkov" stare veje).

jype ::

Icematxyz> da ponovim da linux je varen OS.

Kdo ti je pa to natvezil? Linux ni varen OS niti od daleč. Približek varnega OSa je recimo VMS.

Morda je varnejši od kakega drugega, če ga pravilno nastaviš - to pa ne pove ničesar o tem ali je varen ali ne.

Dri3r ::

Ubuntu je kot naj popularnejša distribucija šel korak dlje od ostalih in je namenoma onesposobil nekatere ukaze kateri bi neukim začetnikom povzročali sive lase. Poleg omenjenega "rm -rf /" je onesposobljen tudi hard restart X serverja s kombinacijo tipk ctrl+alt+backspace in v prihodnosti bo, kot praviš, verjetno še kaj. Lintendo geekom so še vedno na voljo kakšne malo bolj zahtevne distribucije kot npr Gentoo, Slackware, Arch...v katerih se s takimi stvarmi ne ukvarjajo.
Kaj na Windows sisetemu lahko pobrišeš sistemsko particijo z ukazom "rmdir C:\"? Toliko o lintendo userjih...


Lp
dri3r

Zgodovina sprememb…

  • spremenil: Dri3r ()

OmegaBlue ::

denial, rahlo spremeni odnos in nivo kumunikacije, če želiš še naprej sodelovat tukaj.
Never attribute to malice that which can be adequately explained by stupidity.

Icematxyz ::

Kdo ti je pa to natvezil? Linux ni varen OS niti od daleč.


V bistvu se ne strinjam. Ob ustreznem znanju in dobri praksi ne vidim zakaj bi bil Linux kot OS kaj majn varen od drugih OS.

Strinjam pa se s tabo samo ob pogoju da dodaš da so potem tudi vsi drugi OS varni le od daleč. Kaj je v bsitvu res. Ampak relativno gledano ob ustreznih ukrepih ne vidim razloga zakaj bi dejal da moraš ob uporabi linux OS biti kaj bolj zaskrbljen kot ob uporabi kakšnega drugega OS.

fiction ::

je onesposobljen tudi hard restart X serverja s kombinacijo tipk ctrl+alt+backspace
To ni stvar Ubuntuja. Vse skupaj se je ze od nekdaj dalo z ustreznim vnosom v xorg.conf. Zdaj je pac samo taka konfiguracija postala defaultna. Najbrz, da se ljudje ne bi ustrasili, ce po nesreci pritisnejo to. Malce otrocje glede na to, da tisto ni bilo misljeno v ta namen, ampak oh well.

Kot sem ze prej rekel, sprememba v rm je del coreutils in tudi nima veze z Ubuntujem. Na prvi pogled je vse skupaj precej bedasto, uporabnik se zmeraj lahko naredi rm -rf /* ali kaj takega. Ideja ni v tem, da bi scitili neumne uporabnike pred samim seboj, ampak v tem, da se typo pri rm hitro zgodi vsakemu. Typo je "/" sam zasebe, zato moras takrat eksplicitno potrditi, da
res mislis root dir.

Meni se zdi res pateticno kako vedno pride do debate ta pa ta OS je varnejsi in pri tem ljudje samo nabijajo neko subjektivno mnenje. Prosim za argumente.

denial ::

@fiction:
+1

Več ne smem povedati, ker mi bo sicer hudi, hudi BlueOmega brisal poste.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Icematxyz ::

Meni se zdi res pateticno kako vedno pride do debate ta pa ta OS je varnejsi in pri tem ljudje samo nabijajo neko subjektivno mnenje. Prosim za argumente.


V bistvu a bi mi lahko razložil sploh pomen te teme? Ker očitno si ti nad nami ko bi naj samo flejmali. Pomen in bistvo te teme mi prosim samo povej? In potem mi povej kaj ima z informacijsko varnostjo vse supaj?

Omejevanje svobode na račun varnosti neukega uporabnika in zaščita noobov neke linux distribucije ki je namenjena splošni desktop uporabi?

Zakaj je to z vidika informacijske varnosti slabo? S tega vidika ta informacija zagotovo ne more imeti negativnega predznaka.

In zakaj je to flejmanje če temu ne pripisuješ da je sedaj konec nekega obdobja? Oziroma neki bajni varnostni pomajnklivosti iz druge teme o kateri se da v teoriji blazno dobro debatirati v praksi pa ne igra neke vloge?

To te sprašujem predsvem za to ker se mi zdi takšen način prikazovanja težav tam kjer jih po nekem premisleku ne vidiš dejansko flejmanje. Ampak vsak ima pravico do flajmanja najvrjetneje tako da morda pa se v naslednji temi res nima smisla oglašati pa da vidimo kako se razvije brez nekoga ki bojda samo flejma. Če bi vsak "bug" ali feature request v katerem koli OS na tak način prikazovali kot da gre sedaj a neko blazno pomajnklivost ali varnostno luknjo ali celo spremenjen OS ki ni več vreden geeka kam bi pa prišli?

ABX ::

Don't feed the trolls.
Vaša inštalacija je uspešno spodletela!

Daedalus ::

denial provocira. Kar ne pomeni, da nima prav. Ubuntu ratuje glup v smislu, da ne da več absolutne kontrole userju nad OS-om. Kolk je pa to dobro... meni gre na živce. Ker vem, kaj delam. Za ene n00be je pa verjetno ok. Problem je v tem, da če ujčkaš userje, bojo seveda ratali stupid.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BigWhale ::

Hja, meni se je ze zgodilo, da sem napisal:

rm -rf tmp *

V svojem home direktoriju.

In po kaki sekundi, ko je tale rm se kar laufal, se mi je posvetilo, da precej predolgo laufa in pritisnil CTRL-C. :)

fiction ::

Jaz sem se navadil na:
cd /tmp
rm -rf *
cd -
Sicer pa rm ne bi mogel blokirati wildcardov ala *, ker '*' ze sam shell expanda v vsebino direktorija. Zato se ti lahko, ce imas prevec datotek, kdaj zgodi da rm * ne deluje. Takrat lahko uporabis xargs ali kaj podobnega.

Pomen in bistvo te teme mi prosim samo povej? In potem mi povej kaj ima z informacijsko varnostjo vse supaj?
Bistvo teme je, ce je --preserve-root res potreben, ali gre za "security-through-obscurity". OK ne recem nima 100 % veze z informacijsko varnostjo, ampak razna bluzenja v stilu "Linux je vseeno kul / varen / ..." so se bolj offtopic.
Tisto se navezuje samo na naslov teme (provociranje z njim).

Prava resitev je seveda backup, ta opcija je pa nek dirty "hack", ki vseeno kdaj pa kdaj lahko pride zelo prav (tako
kot razni drugi varnostni mehanizmi ala ASLR ali pa non-exec stack za preprecevanje vdorov).

Dri3r ::

Je kdo od vas sploh kdaj uporabil rm -rf / ? Jaz sem ga pognal samo enkrat pred formatom za hec, da sm pač videl kako se zadeva sesuje >:D
dri3r

OrkAA ::

Saj ni nič posebnega. Za sabo pač pusti neko zmedo, ker rm itak ni sposoben pobrisati samega sebe.

fiction ::

Je kdo od vas sploh kdaj uporabil rm -rf / ?
Dolgo casa nazaj. In tudi takrat namerno.

Ce si paranoicen itak lahko naredis alias za rm na rm -i oz. -I tako da ti zadeva vsakic zatezi pa je. Potem je samo se korak do tega, da moras za izbris vsakega fajla vpisovati 30 mestno prastevilo ;)
Ne vem pa ce bi lahko kako detektiral wildcarde. Ce das rm *, rm v bistvu vidi recimo "foo bar" kot vhodna parametra. Torej bi bilo treba najbrz na grd nacin popraviti shell in se program rm. V Windows svetu mislim da je tako, da mora vsak program sam poskrbeti za *, ki ga dobi.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

LinuxCon

Oddelek: Informacijska varnost		342383 (1504) noraguta
»

Nemčija: Odrecite se IE (vsaj začasno) (strani: 1 2 3 )

Oddelek: Novice / Brskalniki		10513992 (10138) bf4ed
»

Hekerski napadi na številne varnostne strokovnjake

Oddelek: Novice / Varnost		244393 (2606) riba1122
»

Zaradi večje varnosti Windows 7 se slabo piše Linux in Mac uporabnikom (strani: 1 2 )

Oddelek: Novice / Varnost		9811052 (7408) MrStein
»

Po pol leta vendarle zakrpana luknja v Windowsih

Oddelek: Novice / Varnost		372424 (2424) Fella

Več podobnih tem