ESET odkril 21 kosov malwara za Linux

SeMiNeSanja je 20. dec 2018 ob 23:18 izjavil:

Ti isti osebki se v nekih druhih temah proglašajo za nekakšne 'demokrate' in 'liberalce' - ko gre pa zares in bi bilo treba pokazat 'odprtost do različnih mnenj', pa postanejo navadni verbalni nasilneži, primitivci.

You've been jyped. A si včeraj prišel na forum? Pa ne, da si kakšen biser civilizirane debate, ampak saj je že vsem jasno, da je kakršnakoli argumentirana izmenjava mnenj nemogoča.

tony1 je 21. dec 2018 ob 08:27 izjavil:

MrStein je 20. dec 2018 ob 20:16 izjavil:

tony1 je 18. dec 2018 ob 22:13 izjavil:

Zdaj pa ti desetkrat preberi: "zaprte kode se ne more pregledovati, ker je to prepovedano".

Zakaj širiš laži?

Pravkar sem se prijavil na en HPjev switch, kjer me ob vsaki prijavi pričaka banner:
********************************************************************
* Copyright (c) 2004-2007 3Com Corporation. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
********************************************************************

In to pomeni, da če imaš argumentiran interes, kateri ne gre v škodo lastnika avtorske pravice, ne moreš pridobiti tega dovoljenja?

Po mojem razumevanju angleščine NE.
Zakaj potem skušaš ustvarjati vtis, kot da je absolutno nemogoče pridobiti tako dovoljenje, če banner tako možnost eksplicitno navaja?!?

Pojdi vprašati koga, ki ima proizvod certificiran po FIPS 140-2, pa če je to spravil skozi, ne da bi predložil izvorno kodo.

Kako je že s sporazumom med Microsoft in EU, da imajo vlade EU prost dodtop do izvorne kode Microsoft proizvodov? Nisem slišal, da bi ta program ukinili....?

Ja, seveda so omejitve, da ne vtika vsaka rit svoj nos tja, kjer bi lahko pokradla kaj intelektualne lastnine.
Vsakdo, ki napiše 'hello world' programček ima to pravico. Zakaj jo Microsoft nebi imel?

V glavnem kar trdite definitivno NI čista resnica. V najboljšem slučaju polresnica.

tony1 je 21. dec 2018 ob 09:38 izjavil:

Daj ne nakladaj.

Če delam v firmi, ki ima v državi najvišji HP partnerski status, in imam sam najvišji HP certifikat, ne dobim kode da ga jebeš.

Se je že zgodilo pred leti, ko so na novem produktu imeli tako lep SSH bug, da je userja metalo ven iz seje takoj po prijavi. Ponudili smo se, da ga poflikamo za čas posla, pa so raje sami pustili takšno stanje slabo leto. Super.

Ja, so si že mislili 'who the fuck are you!'.... face it!

In ne, ne gre se za to, da se 'samo popravi dve vrstici kode'. Če je zadeva certificirana po kakšnem od malo bolj zadrgnjenih standardov, potem najbrž ne moreš kar tako malo na hitro počačkat po kodi, da bi odpravil malo napakico, se ti ne zdi?

Po eni strani hočemo čim bolj rigorozne standarde, po drugi strani pa potem jok in stok, zaradi posledic, katere to s seboj prinaša.

Poleg tega pa pri mastodontih, ki imajo pravila poslovanja zapečena v svoj DNA, ne moreš nič premakniti z danes na jutri, še najmanj pa kot nek noname fičfirič from nowhere land. Večji kot so, bolj gre to po birokratski liniji - va vse obstaja 'predpisan postopek'. Če ne greš po predpisanem postopku, si že v odložišču pod pultom, če ne v schredderju.

Ko se spraviš drezati v 'kdo je boljši', zelo hitro naletiš na.... kot američani rečejo "can of worms"....no, kanta v tem primeru je v XXL izvedbi.

Eno je propaganda, drugo pa kruta realnost. Eno je, kar si vsi želimo, drugo pa kaj nam potem božiček dejansko dostavi pod jelko.

Kako je bilo npt. z letošnjim pregledom na Github-u, kjer so našli 4 MILIJONE nepopravljenih znanih (beri starih) bugov v programju, ki se valja na tej platformi?

To so tiste ranljivosti, za katere eni delate reklamo, da se v svetu odprte kode baje odpravijo v parih dnevih. Kje so potem šele nove, nepoznane ranljivosti?
Ask Google 4 Link!

Kako je z aktualno listo 5 majhujših nepokrpanih ranljivosti v Linuxu (malo googlajte!) TRI od teh so CVE-ji iz leta 2017. Pokrpano v parih dneh? My ass!

Kako pa kaj največji varnostni spodrsljaji zadnjih let. Npr. Equifax. Malo googlanja, kaj ga je omogočilo. Šmenta...a ni bila neka ranljivost v odprtokodnem programju (ask Google?).

No, če gre ena največjih varnostnih polomij tega desetletja na račun varnostne luknje v odprtokodnem programju, bi mogoče pa vendarle bilo dobro nekoliko manj glasno vpiti kot pokvarjena plošča "vsak lahko gleda, bolj varno je, vsak lahko gleda, bolj varno je,..."

Raje se spustite na realna tla in nehajte trditi bedarije.

Ni važno, kaj je 'možno' pomembna je REALNOST. Vsak avto se lahko vozi počasi. Koliko voznikov pa ga dejansko vozi počasi? Koga briga! Raje poglejmo statistiko nesreč in naredimo vse, kar je možno, da se jo izboljša. Prepoved avtomobilov, ki zmorejo več kot 140km/h ne bo rešila tega problema. Tako tudi odprava zaprtokodnega programja nebi rešila ničesar.

Software je software in kot tak že po definiciji s seboj prinaša problem: spisal ga je človek. Kjer je zraven človek, so zraven tudi človeške napake.
Odprto ali zaprto tu nima veze. Kdor misli, da je na eni ali drugi strani kaj na boljšem, samo zato, ker ima software tak ali drugačen licenčni status, je bedak.

Človeške napake se skušajo preprečiti z nadzorom kakovosti, ki si ga pa lahko privoščijo le resna programerska podjetja in resni odprtokodni projekti. Skratka obe strani sta na istem. Šteje velikost organizacije in njena organiziranost. Če ni denarja za QA kader, pač ne bo ven kakovostnega proizvoda, oz. bodo uporabniki morali opraviti vlogo beta testerjev.

Bolj kot gledaš realiteto, se pravi DEJANSKE posledice in povzročeno škodo zaradi programerskih spodraljajev, je morda v zadnjih letih celo nekoliko prednjačila odprta koda, ker se je v večini razvpitih primerov šlo za spletne ranljivosti na sistemih temelječih na odprti kodi. Sorry, ampak taka so dejstva. Pa to ne pomeni, da če bi tam stal IIS namesto Apache, da bi se pa zadeva kaj bolje izšla. Mogoče je ravno zato IIS že zdavnaj izgubil primat na spletu, ker se ni hotelo tvegati...? Mogoče bi bila polomija z IIS še bolj popolna? Kdo ve.
Apache in odprta koda je v teh primerih 'kolateralna škoda', ker nekaj na koncu koncev pač mora streči spletne vsebine. Karkoli to že je, bo pod udarom in prej ali slej doživelo udarec. Če bi prednjačil MS in IIS na tem segmentu, bi pa ta bil 'dežurni krivec' (še ne tako dolgo nazaj je dejansko bil...).

Bistvo je, da sam sebi lažeš, če se zanašaš edino na kriterij 'Open Source'. Še celo vrsto drugih kriterijev in ukrepov moraš podvzeti, da ne moreš doživeti svojega lastnega Equifax-a. Open vs. Closed je na koncu pod črto irelevantno. Če ostalih domačih nalog nisi naredil, si pečen tako ali drugače.

Propagiranje in netenje vojne med Open in Closed zgolj speljuje pozornost proč od vseh ostalih 'domačih nalog'. V praksi namreč za 90% težav ni neposredno kriv software, temveč dejstvo, da nekdo ni opravil svoje domače naloge. Ali ni pravilno skonfiguriral software, ali pa ni pravilno definiral in vzpostavil vso varnostno politiko okoli njega.

tony1 je 21. dec 2018 ob 10:57 izjavil:

V tej debati to, da nekdo ni opravil domače naloge in kaj jaz vem še vse, ni predmet te teme. Vse to so realni problemi (naštevamo jih lahko do neba in nazaj), ki sedijo en layer višje.

Pogovarjamo se o nivoju nižje, je to res tako težko razumeti?

Kako naj to bolj plastično predstavim... Kot bi govoril o temi javno vs. zasebno zdravstvo, in ne morem dopovedati, da javno zdravstvo ni slabše od zasebnega zato, ker se v njem več javnega denarja pokrade. To sploh ni validen argument.

Kaj pa je potem argument?

4 milijoni starih nepopravljenih ranljivosti na GitHub?

Ko je GitHub sam dostavil dokaz o tem, kako ne drži tista vaša poropaganda, da se na odprti kodi vsaka napakica pokrpa v parih dnevih?

In ni res - ravno ta debata JE priložnost, da se še toliko bolj poudari pomen ostalih layerjev, s pomočjo katerih si rešimo rit ali pa opečemo prste, če nam jo hoče software zagosti - pa ne glede na to, 'čigav' je.

Jaz sem to hotel poudariti od začetka, pa so se morali oglašati užaljeni brihtneži, ki ne znajo drugega doprinesti kot 'odprto je bolj varno'. J* ga, če na koncu praktični real life rezultat ne štima okoli 'bolj varno'.
Del tega, da rezultat ne štima, pa je ravno to lajnanje 'je bolj varno' - ne ni bolj varno, če je narobe skonfigurirano, če je varnostna politika zafurana, če streže podatke, kijih nikoli nebi sploh smeli streči na javni strani, itd. itd.

Če je v 90% failov software samo 'ključavnica' do polomije, vse ostalo pa posledica slabe organizacije in načrtovanja rešitve, potem bi se morali 9x več pogovvarjati o tem, ne pa o odprtem vs. zaprtem software.

Samo bedaki izključujejo ene ali druge rešitve iz 'ideoloških razlogov'.
Ampak lahko si še tako ideološko prepojen - danes praktično ni 'čistokrvnih' projektov. Vedno se nekje nekaj najde, kar po svoji licenčni politiki odstopa od ostalega.

Poldi112 je 21. dec 2018 ob 12:48 izjavil:

Ko je GitHub sam dostavil dokaz o tem, kako ne drži tista vaša poropaganda, da se na odprti kodi vsaka napakica pokrpa v parih dnevih?

Link?

Aja, še to... pri tem scanu se je šlo za 'dependencies' scan. Se pravi sploh ne za dejanske ranljivosti samih rešitev, temveč ranljivosti, katere so rešitve 'podedovale' z uporabo znanih ranljivih knjižnic.
Torej 'težavica', ki bi jo lahko avtorji v večini primerov dejansko lahko odpravili mimogrede, če bi vsaj malo vzdrževali svoje rešitve.
Če se torej pri takem pregledu najde 4M primerov uporabe ranljivih knjižnic, koliko je v tem istem (nevzdrževanem) programju šele preostalih ranljivosti?

Ampak hej, to je realnost. In nič bolje ni na strani zaprtokodnega programja. Koliko je garažnih programerjev, ki delajo nevem kakšne programčke za svoje stranke in uporabljajo te iste ranljive knjižnice. Posodabljanje pa... če si plačal...morda..ali pa tudi to ne, če garažni guru ne ve, da je uporabljena knjižnica pristala na črni listi.

Over Four Million Vulnerabilities Detected by GitHub Security
GitHub Inspection Discovers 4 Million Flaws In Public Code
GitHub Security Alerts Detected over Four Million Vulnerabilities
GitHub vulnerability scanner reveals 4 million security flaws in code
Bo dovolj?

Poldi112 je 21. dec 2018 ob 13:19 izjavil:

Ti si pa za hece kolega. Link do naše propagande, da se na "odprti kodi vsaka napakica pokrpa v parih dneh?"

Itak je polno odprtih bugov. Kakšno je stanje ti da vedeti že dejstvo, da ima najpopularnejša distribucija še vedno odprt najstarejši bug.

Pa kaj misliš, da sem jaz vaš postrešček za linke?
Kar sam si jih poišči! Vam Google dela glih tako dobro kot meni.

Očitno pa niti to ne preberete, kar sami propagirate.... (pa presneto, večinoma to nima več kot 130 znakov!)

Poldi112 je 21. dec 2018 ob 13:32 izjavil:

Ne kolega, bojim se, da lažeš, linka pa ne moreš sproducirati iz nekako istega razloga.

WTF? Cela tema je en sam link. Pejt brat kaj ste pisal, pa boš vse našel, kar iščeš.

Mislim, kakšno bedno sprenevedanje!
Jaz definitivno nisem dolžan nobenemu smrkavcu lepiti linke do vsebin ki jih noče 'videti'. Itak delaš sam iz sebe budalo, ko hočeš linke za zadeve, ki ste jih sami trosili gor.

Poldi112 je 21. dec 2018 ob 13:48 izjavil:

Mogoče nisi razumel konteksta. Pomembne luknje so hitreje zaflikane na Lin kot na Win. Se pa povsem strinjam, da je čisto preveč odprtih lukenj. Kaj češ, če pa večina samo gleda...

Kontekst obračate kakor veter zapiha. Če vam ne paše tako, pa obrnete drugače.

Tudi kar se tiče Microsofta - ko se gre za VARNOSTNE luknje, so danes stvari precej drugačne, kot pred 10 leti. Nekaj po njihovi lastni zaslugi, nekaj pa po zaslugi Googlovega 'izsiljevanja', ki je včasih mogoče kruto, ampak na koncu vsi od njega profitiramo.

Veliko večji problem je potem nameščanje popravkov, ko so ti enkrat na voljo.
Koliko je sistemov, za katere so vsi popravki na voljo - pa jih uporabniki ne namestijo? Gre se za problem grozljivih razsežnosti, ki se ga redko kdo zaveda, dokler mu router ne ugrabijo.... Kar se mene tiče, bi bilo še najbolje, če bi jih kar zabrickali!

Dodaten problem pa so še routerji in ostale naprave, ki so EoL in zanje tudi v najboljšem primeru ne bo popravkov.

Čisto posebno poglavje pa je potem še IoT.....

Pri vsem tem si eni nataknejo plašnice in se gredo ločnico na odprto/zaprto. Pri vseh ostalih problemih je slednji še najbolj trivialen.

Poldi112 je 21. dec 2018 ob 14:36 izjavil:

Se strinjam, danes je MS neprimerno boljši kot nekoč, plus da veliko ljudi ne namešča popravkov, kar ni njihov problem. Ampak kar hočem reči je, da tudi tisti, ki namestijo popravke, pač niso tako varni kot oni na linux-u (popatchanem), ker je linux pač oss in niti največja firma enostavno ne more konkurirati celemu svetu. Simple kmečka logika, ki se povsem ujema z dejanskom stanjem.

Ampak dajmo počasi zaključiti, kaj praviš?

Preveč poenostavljaš.

Če izvzamemo viruse, katere se na nek OS prenesejo 'direktno' z uporabnikovo zahtevo po prenosu in odprtju datoteke (mail, file system, ...), ima Linux VELIKO manjši 'attack surface', kakor Windows. Pri Linuxu boš običajno imel manj servisov izpostavljenih proti omrežju, kot imaš prstov na eni roki.
Toliko je potem tudi potencialnih 'vstopnih točk' za oddaljene napade.
Potem pa pojdi prešteti, koliko servisov na Windows serverju 'nekaj čara' z omrežjem. Mislim, da ne bo dovolj, če tudi noge uporabiš za štetje.

Če lahko na Linuxu tisto peščico izpostavljenih servisov zelo natančno nadziraš od kje se bo lahko do njih dostopalo, bo to na Windows že kar hud problem.

Če ti na Linux nek servis ni všeč (mail, http,...) praktično vedno obstajata še dve ali več alternativ, ki si jih lahko namestiš. Na Windows......no, sem in tja so kakšne alternative, ampak še zdaleč ne za vse sistemske servise. Pa še drago zna biti, če si izmišljuješ glede alternativ.

V glavnem - eno in drugo primerjati...ni pravega smisla, ker sta sistema preveč različna. Vsak ima svoj namen, svoj trg, svoje uporabnike. Mi nismo tu, da bi komu solili pamet, kaj naj uporablja (to bi bilo treba enim pribiti na čelo!), temveč smo tu zato, da jim pomagamo in svetujemo pri uporabi - ne glede na to, kaj uporabljajo.

To, da ima Linux bistveno manjši 'attack surface', ga je izstrelilo kot OS, ki je idealen za internetne storitve. Ker imaš stvari bistveno bolj pod kontrolo.
Windows pa hočeš nočeš, je bolj uporabniško prijazen za uporabo na desktop-u.
Ima pa Windows tolikšen 'attack surface', da bi se moral že skoraj bati, da ga sploh prižgeš. Ampak po nekem čudežu na koncu vsega vsa stvar vendarle nekako deluje, čeprav bi pričakoval, da bo bistveno bolj ranljiva.

Open krama zmore že marsikaj za pisarniško rabo....ampak večno manjka tista pika na i. Uporabniki pa so nestrpni. Čim nekaj ne dela kot bi radi, ti bodo to vrgli v glavo. Že videl kar nekaj uporabnikov, ki so jim razne 'Open' variante office-ov požrle živce - pa ne po ideološki plati!

Eno in drugo sta dva povsem različna svetova in vsakič se mi dvigne pritisk, ko se oboje meče v isti lonec, še najbolj pa me jezi, da se gre na osnovi open/close poenostavljeno 'dokazovati' kateri sistem da je boljši. Vsak ima svoje prednosti in svoje slabosti. Kateregakoli uporabljaš, točno veš, katere so to. Fanatiki pa se obnašajo, kot da ima njihov OS nima nobenih slabosti. Wer's glaubt wird selig.

Ko se pa gre konkretno za odprto kodo, takointako redko kdo kaj čačka po kernelu. Če se uporabi kakšen konec odprte kode za kaj 'svojega', so to običajno kakšni servisi ali aplikacije. Ampak če smo realni - mnogo tega bi se dalo portirati (in se tudi je marskaj portiralo) na Windows platformo. S tem pa Open/Closed argument postaja vse bolj bedast ideološki argument, ko se gre za samo platformo oz. operacijski sistem. Druga zgodba je potem ali bi hotel določene servise poganjati na Windows OS, če naj bi bili to javno dostopni servisi - zaradi 'attack surface-a'.

Še eden, ki verjame, da je treba napačna mnenja spoštovati?

Kakšno presenečenje.

SeMiNeSanja je 21. dec 2018 ob 15:43 izjavil:

To, da ima Linux bistveno manjši 'attack surface', ga je izstrelilo kot OS, ki je idealen za internetne storitve. Ker imaš stvari bistveno bolj pod kontrolo.
Windows pa hočeš nočeš, je bolj uporabniško prijazen za uporabo na desktop-u.

Dilema, ki jo izpostavljaš, je zlagana: Nobenega razloga ni, da ne bi imel obojega hkrati.

Mene prav nič ne moti, da ne spoštujem napačnih mnenj, ravno nasprotno: To smatram za obvezno komponento razuma.

SeMiNeSanjavo nizanje polresničnih trditev seveda ni vredno spoštovanja predvsem zato, ker se trudi zamegliti bistvo, ki je preprosto in jasno: Odprta koda z varnostnega stališča prekosi zaprto kodo, ker omogoča tako neodvisno pregledovanje, kot tudi neodvisno popravljanje.

Vse ostalo, o čemer piše, je nepotreben balast, s katerim poizkuša ljudi prepričati, da je strokovnjak, katerega avtoriteto je treba spoštovati, verjetno zato, ker mu je enkrat nekdo rekel, da bo težko drugim pridigal o varnosti, če pošto pošilja z Outlookom.

tony1 je 21. dec 2018 ob 19:11 izjavil:

SeMiNeSanja je 21. dec 2018 ob 13:15 izjavil:

Poldi112 je 21. dec 2018 ob 12:48 izjavil:

Ko je GitHub sam dostavil dokaz o tem, kako ne drži tista vaša poropaganda, da se na odprti kodi vsaka napakica pokrpa v parih dnevih?

Link?

Aja, še to... pri tem scanu se je šlo za 'dependencies' scan. [for your own good skipping some more typing]
Če se torej pri takem pregledu najde 4M primerov uporabe ranljivih knjižnic, koliko je v tem istem (nevzdrževanem) programju šele preostalih ranljivosti?

Pa veš, da si ravno tukaj podal najboljši argument, zakaj je odprta koda boljša od zaprte?

Če ne, ti bom moral pojasniti zakaj.

Če vidiš samo tisto, kar HOČEŠ VIDET, potem imaš prav.

tony1 je 21. dec 2018 ob 20:45 izjavil:

Točno. Hočem videti tisto, kar lahko spremeni svet na bolje.

Morda ne bo bolje nikoli, ampak odreči se tej možnosti si pa ne pustim. To je vse.

Samo potem pisariš napačnemu naslovu.

Jaz namreč nisem Božiček!

SeMiNeSanja je 21. dec 2018 ob 13:15 izjavil:

Poldi112 je 21. dec 2018 ob 12:48 izjavil:

Ko je GitHub sam dostavil dokaz o tem, kako ne drži tista vaša poropaganda, da se na odprti kodi vsaka napakica pokrpa v parih dnevih?

Link?

Aja, še to... pri tem scanu se je šlo za 'dependencies' scan. Se pravi sploh ne za dejanske ranljivosti samih rešitev, temveč ranljivosti, katere so rešitve 'podedovale' z uporabo znanih ranljivih knjižnic.
Torej 'težavica', ki bi jo lahko avtorji v večini primerov dejansko lahko odpravili mimogrede, če bi vsaj malo vzdrževali svoje rešitve.
Če se torej pri takem pregledu najde 4M primerov uporabe ranljivih knjižnic, koliko je v tem istem (nevzdrževanem) programju šele preostalih ranljivosti?

Ampak hej, to je realnost. In nič bolje ni na strani zaprtokodnega programja. Koliko je garažnih programerjev, ki delajo nevem kakšne programčke za svoje stranke in uporabljajo te iste ranljive knjižnice. Posodabljanje pa... če si plačal...morda..ali pa tudi to ne, če garažni guru ne ve, da je uporabljena knjižnica pristala na črni listi.

Over Four Million Vulnerabilities Detected by GitHub Security
GitHub Inspection Discovers 4 Million Flaws In Public Code
GitHub Security Alerts Detected over Four Million Vulnerabilities
GitHub vulnerability scanner reveals 4 million security flaws in code
Bo dovolj?

kako hitro je sposoben sproducirat linke, ko gre za github novico. par odgovorov prej je pa pizdil, naj si jih najdemo sami, ko je moral citirat to, česar nas obtožuje. hehe :D

Kje je zdaj Mavrik, da linka spisek logically fallacy-jev?