» »

LinuxCon

LinuxCon

denial ::

Media: KLIK
Slides: KLIK in KLOK
SELECT finger FROM hand WHERE id=3;

jkreuztzfeld ::

Tnx.
--
Great minds run in great circles.

denial ::

More media coverage: KLIK. Morrisova predstavitev: KLOK.

Nadvse zanimivo je dejstvo, da se vsi Linux kernel razvijalci, ki skrbijo za varnost, strinjajo da Linux ni varen sistem. Za razliko od njegovih uporabnikov, ki še vedno verjamejo v urbani mit. No, saj tudi v Windows svetu ni nič drugače.
SELECT finger FROM hand WHERE id=3;

jinzo ::

@denial
Večina linux uporabnikov, ki jih jaz poznam se dobro zaveda da uporaba linux-a kot sama ne prinese varnosti, je pa res da večina linux uporabnikov zna sama poskrbeti za svojo varnost na večih nivojih kot večina Windows uporabnikov. Zato se nekateri radi sklicujejo na "urbani mit" da linux uporabniki mislijo da je linux varen kar out of the box. Je pa dejstvo, pa če ti je všeč ali ne, da linux omogoča veliko večjo fleksibilnost pri implementaciji varnostnih sistemov/pravil - in zaradi tega je po mojem mnenju "varnejši" od Windows-a in ostalih zaprtokodnih operacijskih sistemov.
Dejstvo je, da neglede na zaščito ki jo ponuja operacijski sistem sam sistem ni varen če uporabnik ni podučen o nevarnostih in klika kar vsepovprek. To je tudi en faktor pri "urbanem mitu" da je linux varnejši, nabor uporabnikov linux-a je v povprečju bolj tehnično izobražen in zna bolje poskrbeti za varnost sistema.

Je pa vsekakor opažati trend da se developerji vedno bol zavedajo pomanjklivosti in delajo na odpravljanju le teh (to se pozna tudi v sprejemanju raznih sistemov ala AppArmor v mainline kernel). Kar je vsekakor dober trend in upam da se bo nadaljeval.

denial ::

@jinzo:
Se strinjam z večino napisanega. Žal si, kot je to v navadi, zopet primerjal varnost Linux-a napram Windows. Vsakdo naj počisti pred svojim pragom. Kdor meni da je njegov prag čist le zato ker je sosedov še bolj umazan, potem verjetno ni na pravi poti.
SELECT finger FROM hand WHERE id=3;

techfreak :) ::

Verjetno se vsaj 90% vdorov zgodi zaradi uporabnikove napake, torej bi lahko najprej tam začeli z učenjem o tem, kaj lahko zaposleni ljudem izven podjetja posredujejo.

jinzo ::

@denial
moj prag je čist :)

Nevem kaj je narobe z primerjavo varnosti operacijskih sistemov? Enlighten me please.

denial ::

moj prag je čist :)

Kaj res? Pa si pogledal tudi pod predpražnik?

Nevem kaj je narobe z primerjavo varnosti operacijskih sistemov?

Nič, dokler je primerjava smiselna in kvalitetna.

Enlighten me please.

You may now consider yourself enlightened.

Nabor uporabnikov linux-a je v povprečju bolj tehnično izobražen in zna bolje poskrbeti za varnost sistema.

Še ena nesmiselna primerjava. Počakaj da Linux začnejo uporabljati tajnice, trgovke, otroci, dedki in babice...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jinzo ::

Da, tudi pod predpražnikom je čisto.

Še vedno ne razumem zakaj primerjava splošne varnosti razčinih OS-ov ni smiselna? Na polinkanem tekstu (ki niti ni tako slab, hvala) so lepo razložene določene tehnike ki so na voljo v linux-u, zakaj tega iz tehničnega vidika nebi objektivno primerjal z tehnikami v windows-u ali OS X-u? Jaz menim, da se da varnost različnih OS-ev do neke mere primerjati zgolj po vidiku tehničnih implementacij in idej za njimi.

Ja potem se bo stanje spremenilo, sedaj pa je tako. Sicer nevem zakaj je taka "primerjava" nesmiselna, ampak ok. Še vedno menim da ima linux (in nasplošno UNIX in UNIX like os-i) veliko boljšo varnostno zasnovo kot Windows (vsekakor na to vpliva tudi user base) in dvomim da se bo ta zasnova spremenila. Vsekakor pa sem odprt na nova spoznanja kaktere superiorne tehnike (čisto iz tehničnega vidika) uporablja windows?

denial ::

Vsekakor pa sem odprt na nova spoznanja kaktere superiorne tehnike (čisto iz tehničnega vidika) uporablja windows?

Nobenih naprednih mehanizmov, ki ne bi bili že znani. Vprašanje je le v kolikšni meri so ti mehanizmi by default tudi implementirani ter kako, če sploh, lahko te mehanizme implementiraš v starejše sisteme.

Jaz menim, da se da varnost različnih OS-ev do neke mere primerjati zgolj po vidiku tehničnih implementacij in idej za njimi.

Pa je kdo že opravil podobno strokovno in objektivno primerjavo varnostnih mehanizmov v Lin/Win/Mac? Kolikor je meni znano, lahko se tudi motim, so bile vse "primerjave" na PR/fanboy nivoju. Splošno merilo obravnavajna varnosti je tako še vedno število virusov in objavljenih exploitov.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jinzo ::

jah, jaz osebno raje preberem lastnosti/delovanje mehanizmov v posameznih primerih/sistemih in nato sam primerjam, tako se nekaj pametnega naučim in se ne zanašam na neobjektivno primerjavo stvari.
In če pogledamo poizkus reševanja stvari z UAC-om in kako je bil le ta sfaljen (in koliko je povzemal po že implementiranih sistemih - ter seveda kako se je ta implementacija razlikovala od ostalih) je kar hitro jasno da ima Microsoft velike težave pri introdukciji varnostnih mehanizmov, ki bi bili po volji uporabnika in bi bili dejansko učinkoviti.
Me pa zanima vaše osebno mnenje, mislite da Windows kot najbolj popularen namizni OS vsebuje bolj napredne varnostne mehanizme (ki so privzeto omogočeni ali onemogočeni) kot jih omogoča/vsebuje linux (pa se omejimo na mainline kernel)? Pa Mac OS X?
Mislim, da se vsi strinjamo da se še da marsikaj postoriti glede varnosti Linux-a, ampak jaz vseeno menim da Linux omogoča večjo stopnjo varnosti kot Windows ali Mac OS X.

Cold1 ::

Kako veš kdo (kateri program) je izrisal okno? In kaj se zgodi ko v "neko okno" vpišeš geslo super userja?
Tole je popolnoma resno vprašanje, Denial ima katerikoli linux/BSD/UNIX kakšen odgovor?

techfreak :) ::

Mislim, da se vsi strinjamo da se še da marsikaj postoriti glede varnosti Linux-a, ampak jaz vseeno menim da Linux omogoča večjo stopnjo varnosti kot Windows ali Mac OS X.

Mac bi naj bil kar luknjičast, ampak Linux je lahko enako varen kot Windows, če je pravilno nastavljen.

denial ::

Izhajam iz stališča, da so vsi sistemi hroščati in ranljivi. Kakšen je torej smisel razprave tvoj sistem [x] je bolj hroščat od mojega sistema [y] ? Vse kar me zanima je, da spoznam pomanjkljivosti sistema [y] in jih poskušam odpraviti.

UAC je fail. SUIDs tudi.

PS:
Če boš svoje vprašanje o varnosti sistemov postavil na ST/MSFT/MAC forumih boš dobil popolnoma različne odgovore. Zanimivo kajne...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Cold1 ::

No mene zanima vprašanje avtentičnosti grafičnega uporabniškega vmesnika, kako naj uporabnik ve, po katerih, kakšnih vidnih znamenjih naj presodi s kom se "pogovarja". Z OS-om ali s katerim izmed "zvitejših" konstruktov, ki bivajo v njem?

Obstajajo kakšne raziskave na to temo, je kdo že poizkusil pripeljati razpravo o varnosti na nivo grafičnega, ali ostajamo ujetniki starodobne CLI paradigme, ki je tako lepo predstavljena z uporabniškim imenom in geslom?

Ker, če ostajamo pri besedilni paradigmi, ki je večina uporabnikov ne razume, potem je varnostni model po mojem že v samem filozofskem izhodišču vnaprej propadel projekt (razen seveda za majhno elito, ki ima potrebni nivo abstraktne inteligence).

Zgodovina sprememb…

  • spremenilo: Cold1 ()

denial ::

@Cold1:
V teoriji lahko pri FOSS vzameš source, narediš audit kode, zadevo skompajlaš in pol si lahko ziher, da ne vsebuje nobene nasty zadeve. V praksi tega ne počne nihče od navadnih zemljanov. In če kdo že počne, ni nujno da stvari tudi razume.

Celoten koncept varnosti operacijskih sistemov se sesuje na treh dejavniki, ki so fail že v osnovi: x86, TCP/IP in zaupanje.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Cold1 ::

Ja to mi je v grobem jasno, moje razmišljanje gre v tej smeri (predpostavimo, da se gre za strojno in programsko varen sistem:P), če uporabnik, ki ne razume samih pravil (na kakšen način "obstajajo" programi, kako se ugotavljajo privilegiji, kako le ti prehajajo itd.), ne more z gotovostjo vedeti kdaj mu nekaj sporoča OS, ki je recimo absolutno zaupanja vreden:P, potem sama varnost tako ali tako razpade ob prvem "črnogorskem virusu".

Primer:
---------------------------------------------------------
-- NUJNO - Sistemsko Obvestilo - NUJNO
-- Bla Bla onemogočite nevarno aplikacijo
-- "firewall" bla bla ter v sledečo polje
-- vpišite geslo, da se lahko ponovno
-- vzpostavi varno delovanje bla bla bla.
---------------------------------------------------------
Takim primerkom ljudje vsakodnevno masovno nasedajo.

Zgodovina sprememb…

  • spremenilo: Cold1 ()

denial ::

Še vedno nisem popolnoma prepričan, da razumem kaj želiš povedati.

Seveda je tudi človek del problema. Ljudje še vedno padamo na phishing/social engineering in podbne zadeve. Zelo mi je všeč stavek iz enega gornjih člankov: "In late 1960s, everyone thought we'd have flying cars by now, but instead, we have Facebook." Tudi to nekaj pove :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Cold1 ::

Tipično, uporabniki ne razumejo pravil delovanja računalnika. Vidijo pa vsebino na zaslonu, preko te vsebine si potem poizkušajo zgraditi mentalno sliko delovanja.
Primer: Zaženem program - le ta se začne zaganjati ko vidim splash screen, in je zagnan ko se izriše okno in postane odzivno. Programerji se režijo do ušes, a tako ljudje dojemajo. BTW to je normalen kognitivni postopek - opazuješ ter poizkušaš videno razpostaviti v smiselno mentalno sliko.
Seveda potem ljudje sprašujejo: "Zakaj računalnik šteka, če pa nič ne teče", ker ni vidnih oken ipd.

Računalniški vmesniki bodo morali začeti mnogo bolje izražati dogajanje "pod pokrovom" na intuitiven uporabnikom razumljiv način.
Dokler bo potrebna precej dobra abstraktna inteligenca in veliko učenja ali izkušenj bodo "črnogorski virusi" zmagovali z obema rokama zvezanima na hrbtu, varnostni mehanizmi pa bodo brez vrednosti, saj bodo ljudje v dobri veri varnost onemogočili kar sami.

Icematxyz ::

Nadvse zanimivo je dejstvo, da se vsi Linux kernel razvijalci, ki skrbijo za varnost, strinjajo da Linux ni varen sistem. Za razliko od njegovih uporabnikov, ki še vedno verjamejo v urbani mit.


Kateri "OS" pa bi ti priporočal. Kot prvo izbiro.

Če ne tisti ki temelji na GNU/Linux in Co.? V projektih, kjer je varnost v širšem in ožjem smislu na prvem mestu? Da slišim.

noraguta ::

Cold1 je izjavil:

No mene zanima vprašanje avtentičnosti grafičnega uporabniškega vmesnika, kako naj uporabnik ve, po katerih, kakšnih vidnih znamenjih naj presodi s kom se "pogovarja". Z OS-om ali s katerim izmed "zvitejših" konstruktov, ki bivajo v njem?

Obstajajo kakšne raziskave na to temo, je kdo že poizkusil pripeljati razpravo o varnosti na nivo grafičnega, ali ostajamo ujetniki starodobne CLI paradigme, ki je tako lepo predstavljena z uporabniškim imenom in geslom?

Ker, če ostajamo pri besedilni paradigmi, ki je večina uporabnikov ne razume, potem je varnostni model po mojem že v samem filozofskem izhodišču vnaprej propadel projekt (razen seveda za majhno elito, ki ima potrebni nivo abstraktne inteligence).

zato se pa admin pravice omejujejo. konec koncev uporabnike zanima "uporabna" vrednost ne pa varnost.oziroma o njej sploh ne razmišljajo.
Pust' ot pobyedy k pobyedye vyedyot!

Cold1 ::

Ja se omejujejo, v poslovnem okolju, kaj pa v domačem.
Pa tudi pri omejenih pravicah lahko vsak uporabnik še vedno dostopa do svojih podatkov, ki so vedno tudi najpomembnejša stvar na računalniku.
Separacija user/admin pa se mi bolj kot ne zdi zanesljivostni ukrep, ki poveča trpežnost programske opreme, ne pa varnosti (to je mimogrede tudi MS-ovo stališče do UAC-ja).

Zgodovina sprememb…

  • spremenilo: Cold1 ()

Tear_DR0P ::

zadevo skompajlaš in pol si lahko ziher, da ne vsebuje nobene nasty zadeve

a ni tako, da moraš tudi kompajlerju zaupati, ker če dobiš nasty compajler, ti lahko tudi ta podtakne "nečistoče" v tvojo preverjeno čisto kodo?
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

denial ::

a ni tako, da moraš tudi kompajlerju zaupati, ker če dobiš nasty compajler, ti lahko tudi ta podtakne "nečistoče" v tvojo preverjeno čisto kodo?

Ken Thompson - "Reflections on trusting trust"
SELECT finger FROM hand WHERE id=3;

denial ::

Linux Security Summit 2010 - Wrapup

Interesting note from James Morris (Red Hat):
IMHO, we face a number of challenges in this area: 1) core kernel developers are not always receptive to enhanced security, 2) the solutions proposed often are technically not acceptable to upstream (and require a lot of persistent reworking) and 3) we don't have a huge pool of available expertise upstream in these areas.
SELECT finger FROM hand WHERE id=3;

poweroff ::

Problem je v temle: ljudje se odločijo za en sistem in se potem tolažijo s tem, da je oni drugi sistem slabši. To pa je neumno, saj mene ne zanima kolk slabo živijo v Albaniji ali v Sudanu, saj nikoli ne hodim tja in tam ne živim. Kar me zanima je kateri so problemi v Sloveniji in kako izboljšat lastno državo, da bom tu živel bolje.

Drugače je pa takole. Linux je dolgo časa delal na usabilityu. Podpora čim več strojne opreme, fancy okenčka, itd. To seveda je pomembno. In na nek način razumljivo je, da so zato nekoliko zanemarili varnost. Od tod tista znamenita Linusova izjava, ki jo denial rad citira.

Vendar je Linux danes že dosegel dovolj visoko stopnjo usabilitya, da bi se razvijalci morali bolj posvetiti varnosti. Upam, da bodo to dojeli čim prej. Kolikor spremljam zadeve, so to že začeli dojemati. Upam, da ni samo vtis tak.
sudo poweroff

Poldi112 ::

Pač, oboje je pomembno. Glej kaj je security pripeljal OpenBSD - nekam na rob obskurnosti.

Meni se bolj zdi, da denial blazno uživa, ko išče luknje v Linux-u. Zakaj? Ne vem, kako naj si drugače razložim, da za vsako stvar odpre svojo temo. Ampak ok, mene ne moti in nekatere stvari celo so bile zanimive. Ampak nič takega, zaradi česar ponoči ne bi mogel spati.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

denial ::

@Poldi112:
Verjetno bi raje, da se o Linux bugih ne govori. Saj razumem. Mimogrede, jaz uporabljam Windows pa ravno tako nimam težav v spanjem. Torej?

Now, on with the bug-show... Check Debian results here and here. What a luck that Debian takes security very seriously.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Poldi112 ::

Nič ne razumeš, saj niti bereš ne. V interesu mi je, da se govori o njih. Samo če za vsakega odpreš svojo temo, in tako v istem dnevu (par tednov nazaj) vidim vsaj 3 odprte teme, ki bi morale biti ena, mi to deluje tako, zelo trollovsko. Sploh ker so večinoma linki in ker so naslovi bombastični (kosti v linux omari) in niti ne povzetek. Zakaj raje ne napišeš novice?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

denial ::

I'm doing it the way I like it. Got problem with that? Send complains to moderator. Even better, don't read it.
SELECT finger FROM hand WHERE id=3;

System ::

Denial keep posting.
Great job... exploit the bugs, save the world. :))

Tear_DR0P ::

jaz tudi ne razumem zakaj bi bilo potrebno napadati Deniala - človek nam redno dostavlja novice o luknjah v operacijskih sistemih - morda ima sicer pri poročanju o luknjah linuxa nekaj več užitka, ampak nikogar ne napada osebno.

vsekakor si želim še večkrat prebrati kaj na temo varnosti v Linuxu
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Poldi112 ::

Pa kdo ga napada? Samo povedal sem mu, da spama, ko daje vsako stvar v svojo temo. To je vse. On pa potem ves užaljen.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Cold1 ::

@Poldi112
Mar res želiš, da nastanejo dolge, neberljive in skrotovičene teme v katerih se prepleta na stotine tematik, nakar bodo uporabniki prisiljeni iskati skozi pogovorne niti, namesto, da bi iskali po naslovih tem v izbi Informacijska varnost?

@Vsi:
Mimogrede, na ars technici so objavili prispevek na temo "črnogorskih virusov":
http://arstechnica.com/microsoft/news/2...
Poglejte si spletne strani, ki se pretvarjajo da so varnostna opozorila samih brskalnikov in se vprašajte ali bi nasedli (jaz se bojim da mnogi bi, vsaj v primeru IE-ja - click here to close this web page seveda povzroči okužbo).

In tole je, mimogrede, primer kako se lahko nit oddalji od začetne tematike, če se ne ustvarja novih niti za nove teme:D.

noraguta ::

Poldi112 je izjavil:

Pa kdo ga napada? Samo povedal sem mu, da spama, ko daje vsako stvar v svojo temo. To je vse. On pa potem ves užaljen.

pjanc!
Pust' ot pobyedy k pobyedye vyedyot!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Le nekaj ur po popravku za Mac OS X nova varianta MacDefenderja

Oddelek: Novice / Varnost
377337 (5998) MrStein
»

Najbolj varen Operacijski Sistem?

Oddelek: Operacijski sistemi
131187 (878) System
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
305380 (4008) riba1122
»

Hekerski napadi na številne varnostne strokovnjake

Oddelek: Novice / Varnost
244366 (2579) riba1122
»

The end of an era

Oddelek: Operacijski sistemi
211643 (940) fiction

Več podobnih tem