» »

ESET odkril 21 kosov malwara za Linux

ESET odkril 21 kosov malwara za Linux

Slo-Tech - Že dolgo časa vemo, da Linux ni imun na zlonamerno programsko opremo, a je zanj vseeno toliko manj razširjena, da pogosto pozabimo nanjo. To se lahko tudi maščuje, saj se na Linuxu precej manj pozornosti posveča malwaru kakor na drugih sistemih. Strokovnjaki iz podjetja ESET so vnovič opozorili, da na to ne smemo povsem pozabiti. To pot poročajo o 21 "novih" družinah malwara, ki se širi po Linuxu. V vseh primerih gre za trojansko verzijo odjemalca za OpenSSH.

V ESET-u pojasnjujejo, da 18 izmed 21 opisanih družin vsebuje module za krajo prijavnih podatkov (gesla, ključi), 17 pa jih vsebuje stranska vrata za oddaljen dostop. Koncept napada prek OpenSSH ni nov, saj so se stranska vrata in malware zanje začeli širiti že pred tremi leti. Eden prvih je botnet Windigo s stranskimi vrati Ebury. Pri preiskavi tega malwara je ESET ugotovil, da ima Ebury mehanizem za iskanje drugih stranskih vrat v OpenSSH-ju. Ta išče znane podpise vsaj 40 datotek, ki ustrezajo stranskim vratom konkurenčnih hekerskih skupin. Ko je ESET odkril ta mehanizem, so ugotovili, da nimajo vzorcev, ki ustrezajo tem 40 podpisom. Hekerji so imeli bistveno boljši vpogled in več informacij o delovanju drugih hekerskih skupin kakor tisti, ki jih preganjajo. Zato so zadnja tri leta iskali te datoteke in jih sedaj tudi identificirali.

V poročilu ni natančno navedeno, kako so zlikovci namestili te odjemalce na okužene računalnike. Za zdaj kaže, da gre za klasične metode. Torej bodisi za napad (s surovo močjo ali slovarjem) za ugibanje gesel SSH ali za izrabo ranljivosti v programski opremi, ki teče na Linuxu (spletni strežnik, aplikacije, CMS-ji itd.). Če ima takšna programska oprema administratorski dostop (česar ne bi smela) ali če napadalci izvedejo eskalacijo privilegijev, lahko pridobijo dostop do sistema.

231 komentarjev

«
1
2 3
...
5

Glugy ::

"Koncept napada prek OpenSSH ni nov, saj so se stranska vrata in malware zanje začeli širiti že pred tremi leti."

Linux pa še kar ni zakrpal? Kaj mečka?

Poldi112 ::

In kako bi ti zakrpal, da ti lahko nekdo, ki ima admin pravice, lahko namesti trojanca?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Dr_M ::

Impossibru!!
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Zgodovina sprememb…

  • predlagal izbris: bobby ()

polozweii ::

Ali se da tem izognit z uporabo antimalware programa? Če da, kako se imenuje ta za Linux?

Matwic ::

Tako kot za Windows: Kaspersky, Bitdefender, Panda, ESET, ...

* Nekateri imajo podporo samo v različicah za podjetja (nič pa ne preprečuje posamezniku, da kupi business varianto, samo dražja je)
** Večinoma podpirajo samo: Red Hat, Ubuntu, Debian, SuSE, Fedoro
*** Ti nič ne pomaga, če napadalci pridobijo admin dostop in onemogočijo antivirus

jype ::

polozweii je izjavil:

Ali se da tem izognit z uporabo antimalware programa?
Ne.

LightBit ::

Reklama za NOD32.

mulc007 ::

Na firmah kjer imajo posamezniki administratorski dostop je razumljivo da je varnost zmanjšana.
Kaj pa v primeru fizične osebe na domačem računalniku?
Jype pravi da ni zaščite. Če je to res potem antivirusni in podobni programi izboljšajo varnost samo do neke mere? Mogoče 90% ali pa samo 10%...nihče ne ve.

jype ::

Ne gre za to. Varnost je proces. Za "namizne" uporabnike morda taka orodja pridejo prav, na strežnikih pa že obstajajo orodja, ki so bistveno močnejša.

mulc007 ::

jype je izjavil:

Ne gre za to. Varnost je proces. Za "namizne" uporabnike morda taka orodja pridejo prav, na strežnikih pa že obstajajo orodja, ki so bistveno močnejša.


Lahko še v praktični obliki napišeš nekaj programov, ki so narejeni za te namene?

Nekdo je napisal za Windows: Kaspersky, Bitdefender, Panda, ESET
Ampak te programi so proti virusom.

V naslovu članka je napisan Malware. Če prav vem sta malware in virus različni stvari.

Zgodovina sprememb…

  • spremenil: mulc007 ()

harmony ::

mulc007 je izjavil:

jype je izjavil:

Ne gre za to. Varnost je proces. Za "namizne" uporabnike morda taka orodja pridejo prav, na strežnikih pa že obstajajo orodja, ki so bistveno močnejša.


Lahko še v praktični obliki napišeš nekaj programov, ki so narejeni za te namene?

Dober firewall recimo oz. dobro konfiguriran firewall.

Zgodovina sprememb…

  • spremenil: harmony ()

Matwic ::

iptables, ebtables, rkhunter. Pred povezavo v svet še neka napredna UTM (Unified Threat Management) aplikacija. Potem pa še razne varnostne direktive na nivoju vsake aplikacije posebej.

Virus je samo specifična vrsta Malware-a (MALicious softWARE).

Izdelki, ki jih ponujajo podjetja, ki sem jih naštel, že dolgo nimajo samo antivirus funkcije ampak vsaj na splošno antimalware. Ponavadi pa zraven vključujejo še firewall in nadzornik dovoljenih procesov.

jype ::

mulc007 je izjavil:

Lahko še v praktični obliki napišeš nekaj programov, ki so narejeni za te namene?
V starih časih so na strežnikih tekle reči kot sta https://www.snort.org/ in https://github.com/Tripwire/tripwire-op... , potem so se pa reči počasi začele premikati v smeri kontejnerizacije in nespremenljivosti. Zanimivejši eksperimenti na tem področju so npr. NixOS (https://nixos.org/nixos/about.html ), CoreOS (https://coreos.com/ ) LinuxKit (https://github.com/linuxkit/linuxkit ), Atomic (https://www.projectatomic.io/ ) in verjetno še kakšen, ki ga še nisem videl od blizu.

Vsi imajo skupne filozofske temelje, ki jih razmeroma poljudno povzame kratek članek: https://blog.codeship.com/immutable-inf...

No, to.

Firewalling na Linuxu ne preprečuje skoraj ničesar, ker reči, ki so kritične, uporabniki itak sami naložijo z interneta in poženejo. Daleč največja grožnja v tem svetu so trenutno nezavarovani in osiroteli repozitoriji knjižnic, še posebej tisti, ki se avtomatično gradijo v popularnih paketnih centrih kot sta npm in pip, ter zlobno zgrajeni paketi v PPAjih in drugih podobnih sistemih - boj zoper to je v kombinaciji decentraliziranega razvoja in centralizirane distribucije precej težak.

bbbbbb2015 ::

jype je izjavil:

polozweii je izjavil:

Ali se da tem izognit z uporabo antimalware programa?
Ne.


Torej, seveda se da.
Daleč najboljši način je SELINUX:
Security-Enhanced Linux @ Wikipedia

kernel modul, ki natančneje definira pravice uporabnikov na sistemu. Seveda se SELINUX lahko da v t.i. opozorilni način, kjer ne ukrepa, ter z logi opozarja, ter na vključeni način, kjer aktivno prepreči dostop do vira.

Če je na serverju instalirana samo nujna produkcija, ter se popravke jemlje iz znanih repozitorijev, je zelo težko priti noter.
SELINUX se mora kombinirati z IDS (Intrusion Detection System). Najboljši je v okviru požarnega zidu pfSense, kot modul:
PfSense @ Wikipedia

Seveda je vedno problem, če ti nekdo sniffa keyboard, ker so ti nastavili nek custom sniferček. Zato je za root dostop potrebno imeti 2FA, še najboljše preko hardvera, kot je tole:
https://www.theverge.com/2018/8/30/1779...

Še s par detajli je ta LINUX kot trdnjava in nihče ne more noter.

euagrus ::

jype je izjavil:

mulc007 je izjavil:

Lahko še v praktični obliki napišeš nekaj programov, ki so narejeni za te namene?
V starih časih so na strežnikih tekle reči kot sta https://www.snort.org/ in https://github.com/Tripwire/tripwire-op... .


No no, kaj v starih casih, pri meni sta se vedno v uporabi, ceprav bom snort pocasi migriral na surricato, je postal prevec zabloatan https://suricata-ids.org/

Pa pfSense bos tudi tezko linuxu pripisal (freebsd) ;)

Pa tudi, da po 10 letih uporabe jailov na BSDju, pride... Tadaaaa... Docker in se vedno ne dosega izolacije, na nivoju jailov...
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

SeMiNeSanja ::

Hruške, jabolka in banane. Vse v istem košu.

Realno gledano, se še vedno najbolj nagibam k trditvi ene kolegice: "the network never lies"

Point je v tem, da se je do danes še na vseh operacijskih sistemih našla kakšna varianta malware-a, ki je znala sistem prinesti naokrog - tudi ob nameščenih antivirusnih rešitvah.

Če malware ni mišljen kot uničujoč ob zagonu, temveč mu je namen izsiljevanje, ustvarjanje backdoor-ov, odtekanje podatkov,... potem se bo prej ali slej poskusil povezati s svojim C&C (nadzornim) centrom. Torej uporabi mrežo. Potem moramo še biti sposobni, da to na mreži zaznamo.

Ker se da lokalno nameščene antimalware rešitve pretentati, za to potrebuješ rešitev, ki sedi na mreži, ne pa na hostu.

IPS/IDS rešitve se tu pogosto omenjajo, vendar te pokrivajo zgolj eno plat medalje. Medalje, ki ima celo kopico plati.

Vrabci na strehi danes čivkajo o 'Defence in Depth', 'Layered Security' pa cse tja do pojmov 'Cybersecurity Killchain'.

Killchain mi je zelo všečen, ker gre nekako v ponazarjanje, kako se 'stvari' zgodijo in se temu ustrezno lahko poskusiš braniti na vsakem od korakov te verige.

"Layered security" je po drugi strani že precej zlajnan koncept, kateri pa dejansko nima alternative. Izhaja iz predpostavke, da ni samostojne rešitve, ki bo zaznala in zaustavila vsako grožnjo, ki na nas preži. Kot da imamo neko sito, ki pa ne prestreže vsega, kar želimo zadržati - zadrži pa zadeve, katere ne želimo. Zato uporabljamo bolj specializirana sita. Dve siti zadržita več kot eno. Ti še več... in tako dalje.

Na temu gradijo tudi sodobne požarne pregrade.
Zgoraj omenjeni pfSense je zgolj grobo rešeto. Prištukaš zastonjski IDS (snort/suricata), ki uporablja zastarele signature. Mogoče še pošlješ vse skupaj preko web proxija, da lahko navesiš gor ClamAV. Ker si nekje slišal govorico, da baje OpenDNS nudi še neko dodatno zaščito (ki se je izkazala za popolni fail), vprežeš še tega v svoje 'skrpucalo'. Do sem imaš torej štiri varnostne filtre. Dodatno še na hostu namestiš nek AV in si na petih.

O.k.... kaj dejansko s tem prestrežemo? Če proxy ne dela https dekripcije, že takoj v osnovi 2/3 vsega prometa gre skozi, ne da bi ga kakorkoli pogledal. Auč?
Ker so stvari iz raznih logov (čeprav jih dobiš v skupni distribuciji) je 'integracija' izpeljana zgolj do določene mere (vsaka komponenta je v bistvu samostojni projekt). Tu se pa potem lahko hitro zapletejo stvari, če želimo izvajati https dekripcijo za web proxy/AV in IDS.

Ustvarjalci malware-a se tega dobro zavedajo in so ga že davno tega naučili, da uporablja https, tor in podobne kriptirane protokole, da se lahko izmuznejo odkritju. Pogosto pri tem še niti ni treba biti nevem kako inovativen - zgolj uporabiš port 443 in že ti vsi sistemi pomahajo 'pojdi naprej'.

A kako potem izkoristiti tisti 'The network never lies' - 'mreža se nikoli ne laže'?

Kot prvo nimaš poti mimo https dekripcije. Kriptiran https uporabljaš izključno do destinacij, ki jim lahko zaupaš. Nikakor pa za 'splošni internet'.

Kot drugo pa moraš imeti vodotesno egress filtriranje - da iz omrežja spustiš ven izključno promet, ki ima 'zunaj kaj iskati'. Vse ostalo moraš blokirat in spremljati, kaj se je v to blokado 'ujelo'.

To pa je delo za zamorčka, ki se mora vsesti, analizirati 'security policy' podjetja (če sploh obstaja), spremljati dejanski promet in kreirati granularna pravila za tisti del prometa, kateri je dovoljen in potreben.

Ker pa se običajno škrtari pri konfiguraciji (če sploh imamo GW, ki bi omogočal kakršenkoli približek nekakšnemu filtriranju), je večina routerjev in požarnih pregrad postavljenih po principu "Allow Any From:Any to:Any"

Škrtost je en razlog - neznanje pa drugi. Marsikdo, ki bi z veseljem plačal za 'vodotesno' egress filtriranje, sodeluje s 'serviserjem', ki se mu niti približno ne sanja, da bi to bilo dobro naresti. Kaj šele, da bi vedel, kako to dejansko tudi izpeljati.

No, če koga zanima, kako se to v praksi naredi, se lahko oglasi pri meni.

euagrus ::

Prevec samopromocije zgoraj. Https dekriptam, da se ze samo reklam znebim, for fun, vse kar je, da se jaz kaksno krilatico uporabim, vektor napada, tece eno izolirano od drugega v jailih, njihovi podatki so na nullmountih, vsak dan se celotna vsebina snapshot reverta in, spet for fun, majckeni custom spisani programcki skrbijo, da koncas ob cudnih akcijah, v honeypotu. Pa se nekaj custom resitev, kjer se igram z network stackom in jih ne bos nikjer nasel, niso nikjer objavljene. Tako da... Eni hodijo na konference, drugi pa... Se jim ne da predavat na konferencah :))
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

SeMiNeSanja ::

euagrus je izjavil:

Prevec samopromocije zgoraj. Https dekriptam, da se ze samo reklam znebim, for fun, vse kar je, da se jaz kaksno krilatico uporabim, vektor napada, tece eno izolirano od drugega v jailih, njihovi podatki so na nullmountih, vsak dan se celotna vsebina snapshot reverta in, spet for fun, majckeni custom spisani programcki skrbijo, da koncas ob cudnih akcijah, v honeypotu. Pa se nekaj custom resitev, kjer se igram z network stackom in jih ne bos nikjer nasel, niso nikjer objavljene. Tako da... Eni hodijo na konference, drugi pa... Se jim ne da predavat na konferencah :))

Kdo govori o predavanju na kakšnih konferencah?
Eno je posredovanje znanja drugim, drugo pa je 'showbiznis', ki se ga zganja na konferencah, kjer z izobraževanjem imajo kvečjemu kakšne tematske delavnice še nekaj veze. Drugače pa so te konference vse bolj zabavne marketing prireditve. Žalostno pri tem je, da moraš običajno še krepko plačati, da te 'masirajo' z marketingom....

Samopromocijo pa sem prej zasledil v tvojem postu. Jaz sem v mojem govoril o splošnih principih, pojasnil nekaj pojmov. Če na koncu pribijem, da zainteresiranim z veseljem pokažem kako se to dela...ne vem, kje je tu samopromocija?

Kaj ni grda samopromocija trditi, da si odkril Ameriko in toplo vodo, pa tega nikomur nebi pokazal?

poweroff ::

"Koncept napada prek OpenSSH ni nov, saj so se stranska vrata in malware zanje začeli širiti že pred tremi leti."

Niti ne. Če se prav spomnim, je bil pred mnogo leti Sensei v skupini, ki je med razvijalce OpenSSH vrinila svoje ljudi... ki so nato v OpenSSH vrinili backdoor. In preko tega prišli v Apache.org.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

"Koncept napada prek OpenSSH ni nov, saj so se stranska vrata in malware zanje začeli širiti že pred tremi leti."

Niti ne. Če se prav spomnim, je bil pred mnogo leti Sensei v skupini, ki je med razvijalce OpenSSH vrinila svoje ljudi... ki so nato v OpenSSH vrinili backdoor. In preko tega prišli v Apache.org.

Ko bi to vsaj bila edina skupina s 'svojimi ljudmi'. Na svetu je cel kup 3-črkovnih agencij, ki zagotovo imajo ravno tako 'svoje ljudi' v vseh mogočih projektih. Tako v razvojnih projektih, kakor tudi med revizorji.

Potem pa zaupaj komu, če moreš. Hočeš. Nočeš? Pa saj nimaš izbire!

Že davno tega, sem navajal, da je 'spodkopavanje' razvojnih ekip lahko zelo efektiven način za 'vgradnjo' backdoor-ov. Pa so OpenSource fan-i trmasto vztrajali, da je kaj takega nemogoče. Pa kaj še!

Pa ravno par dni nazaj je spet bila neka druga zgodba, ko se nekemu razvijalcu ni več ljubilo vzdrževati svojega Eventstream javaskript projekta. Stvar je bila sicer dokaj priljubljena (2M download-ov mesečno?), samo vzdrževal jo že dolgo ni nihče. Pa se najde brihtnež, ki se ponudi, da bo prevzel projekt in ga peljal v 'svetlo prihodnost'. Nič hudega sluteči razvijalec odstopi projekt in preda ključe. No, pa je res kmalu prišlo do posodobitve.... z posebnim 'dodatkom' :)
Dodatek je iskal večje Bitcoin Wallet-e, zaigral MITM, kradel gesla denarnic,... in vse skupaj pošiljal 'domov'.

Pa je vse bilo 'OpenSource'....
Skratka.... kje je potem garancija, da je vse zlato, kar se sveti, oz. vse brezmadežno, kar nosi nalepko 'OpenSource'?

Zagotovo tudi ni nobene garancije pri zaprti kodi. Samo ne smemo si delati utvare, da je ena stran bela in brezmadežna, druga pa 'kupljena'. Obe strani imata svoj 'čar'. Itak pa, če je nekje stvar pretežko 'spodkopat', se pa najde kakšen 'obvoz'. Če ne moreš kompromitirat npr. Telegram, pa nekako namestiš rootkit, trojančka ali kaj podobnega in si spet 'na konju' (z vidika 3-črkovnih agencij). No, v skrajnem primeru pa je tam še vedno dobri stari Gvantanamo....pa ti uncle Sam časti en all inclusive turistični aranžman, če sumi, da bi mu imel veliko zanimivega za povedat.

jype ::

SeMiNeSanja je izjavil:

Skratka.... kje je potem garancija, da je vse zlato, kar se sveti, oz. vse brezmadežno, kar nosi nalepko 'OpenSource'?
Ti res ne razumeš teh reči, vidim.

Vse, kar opisuješ, se dogaja pri vseh oblikah programske opreme, le da pri closed source odkrivanje teh reči terja bistveno več napora.

bbbbbb2015 je izjavil:

Torej, seveda se da.
Nič od opisanega ni "anti-malware". Whitelisting na vseh nivojih je v resnici edina resna oblika varnostnih zagotovil, kar je natanko tisto, kar (med drugim tudi) SELinux omogoča.

Zgodovina sprememb…

  • spremenilo: jype ()

louser ::

Da je whitelisting edina zagotovitev varnosti, so odkrili že razvijalci požarnih zidov že kako desetletje in več nazaj.
Črna lista pač ne more biti varna, če ni vsa umazanija zajeta v njo.

poweroff ::

jype je izjavil:

SeMiNeSanja je izjavil:

Skratka.... kje je potem garancija, da je vse zlato, kar se sveti, oz. vse brezmadežno, kar nosi nalepko 'OpenSource'?
Ti res ne razumeš teh reči, vidim.

Vse, kar opisuješ, se dogaja pri vseh oblikah programske opreme, le da pri closed source odkrivanje teh reči terja bistveno več napora.

Pa saj to je povedal.

Povedal je v bistvu to, da tudi opensource ni imun na te probleme. Odprta koda nič ne pomaga, če je nihče ne gleda. Zato je bila v OpenGPG 10 let velika varnostna luknja. Čeprav je bilo vse open, je ni nihče opazil.
sudo poweroff

tony1 ::

No, samo če povem s primero: odprto kodo bi lahko kdo pregledal, če bi si dal očala na nos; ko dobiš pred sabo zaprto kodo pa podpišeš, da se strinjaš, da je vzeti očala iz etuija prepovedano.

Zdi se *bistvena* razlika, kajne?

SeMiNeSanja ::

tony1 je izjavil:

No, samo če povem s primero: odprto kodo bi lahko kdo pregledal, če bi si dal očala na nos; ko dobiš pred sabo zaprto kodo pa podpišeš, da se strinjaš, da je vzeti očala iz etuija prepovedano.

Zdi se *bistvena* razlika, kajne?

Kot noji z glavo v pesku.

Kaj ti nuca če je vse na dlani, če pa nihče ne pogleda - RAVNO zaradi tega argumenta, da takointako lahko vsak vse vidi. Ja se vidi - desetletje kasneje, ali takrat, ko gredo stvari 'ups!'.

To sprenevedanje je tisto, kar na koncu ustvarja nevarnost. Kazati s prstom na zaprto kodo in vpiti 'fuj!' in riniti ljudi v smeri odprte kode, ki jo ni nihče preveril. Potem pa samo še nekoga potrebuješ, ki vso stvar zlorabi in je zgodba popolna.

Izjeme potrjujejo pravilo! Seveda obstajajo odlično preverjeni odprtokodni projekti. Obstajajo tudi preverjeni zaprtokodni projekti (pa ne kvasiti zdaj, da TI ne moreš nosa vtikat noter, ker tega takointako nebi počnel!).
Obstajajo pa tudi črne ovce na obeh bregovih.

Bistveno pa je, da si kot uporabnik seznanjen vsaj s tem, kako redno se posodablja programje, ki ga uporabljaš.
Sem pred leti 'zalotil' admina v finančni ustanovi, ki je uporabljal nek kvazi OpenSource SSH server za Windows - ki že vsaj 4 leta ni videl posodobitve. Čak malo... to pač ne gre! Tu se potem ne gre več za to, ali kdo kaj gleda ali ne - gre se za to, da so stvari zastarele, ranljive in nevarne.

Popolnoma nekritično nabijanje, kako je OpenSource oh in sploh, pa to situacijo samo še poslabšuje. Treba je biti kritičen tudi do tistega kar ti je najljubše. Ravno nekritičnost potem še dodatno zbuja tisto lenobo, češ 'saj itak lahko vsakdo vidi source', da jo potem na koncu dejansko nihče ne gre gledati.

Morda bi OpenSource community lahko sam sebi naredil uslugo in uvedel nek centralni register, svojo 'Wikipedijo', kjer bi se lahko centralno pozanimal, kako zastarelo programje dejansko uporabljaš, kdaj je doživelo zadnji popravek, kdaj (in kdo? - rating?) je kodo pregledoval, linki na CVE bazo,....

Sicer je res, da na Linuxu zaženeš update, pa se stvari 'zgodijo'. Dejansko bolj učinkovito, kot na Windows, kjer moraš praktično vsak program posebej posodabljati. Toda to ti ne pomaga prav nič, če se določen program ali knjižnice niso več posodabljale, če se je razvoj ustavil.
Povsem naraven proces je, da se določene veje nekega softw. preneha razvijati. Delajo se forki, stvari gredo v nove smeri -s staro kramo pa se nihče ne ukvarja več. A zlomka, če imaš potem staro kramo, ki jo še vedno prenaša po 2 miljona uporabnikov mesečno. Staro kramo, ki ima takšne in drugačne ranljivosti. Staro kramo, ki morda uporablja še bistveno starejše knjižnice, s še hujšimi težavami....

Ne gre se za črnjenje česarkoli. Hvala bogu, da OpenSource software obstaja!
Toda treba je biti realen in stvari videti take kot so. Z vsemi prednosmi in slabostmi. Ne pa si oči zatiskati in se delati, kot da slabosti ni.

In še enkrat - ne trdi se, da je zaprtokodno programje kakorkoli boljše. Nenazadnje tudi zaprtokodno uporablja marsikatero odprtokodno knjižnico in že iz tega naslova lahko v sebi skriva določena tveganja. Sicer je večja verjetnost, da bodo take odprtokodne komponente dejansko bolje pregledane. Ni pa nujno. Lahko jih celo nekdo namerno 'začini' s kakšnim žužkom.

Bistvena razlika je le v toliko, da pri zaprtokodnih zadevah točno veš, na koga lahko s prstom pokažeš. Pri odprtokodnih pa ni ravno vedno povsem jasno, od kje je kaj priletelo in koga velja kriviti.

tony1 ::

a) Daj, lepo prosim, začni pisati malo bolj strnjeno. Vse to smo na dolgo in široko že predebatirali.

b) V bistvu si napisal, da je open source lahko slabši kot closed source, ker obstaja potencial, da bo imel enake pomanjkljivosti kot jih ima closed source.

Hm, če ima kratkoviden človek očala v žepu še ne pomeni, da bo od njega kaj koristnega. Tako preprosto je to. (Gotovo nisi kratkoviden? :-D) Ampak jih vsaj sme uporabiti.

SeMiNeSanja ::

tony1 je izjavil:

a) Daj, lepo prosim, začni pisati malo bolj strnjeno. Vse to smo na dolgo in široko že predebatirali.

b) V bistvu si napisal, da je open source lahko slabši kot closed source, ker obstaja potencial, da bo imel enake pomanjkljivosti kot jih ima closed source.

Hm, če ima kratkoviden človek očala v žepu še ne pomeni, da bo od njega kaj koristnega. Tako preprosto je to. (Gotovo nisi kratkoviden? :-D) Ampak jih vsaj sme uporabiti.

Kaj si nepismen?

Napisal sem, da je problem v percepciji in vtisu, katerega se skuša zbujati, da je OpenSource 'brezmadežen'.

O sami kakovosti sploh ni besede, ker se vanjo ne mislim spuščati, saj je za prav vsak projekt lahko popolnoma drugačna.
TO pa TI nočeš priznati in TU je potem problem.

Poldi112 ::

Noben ne pravi, da je opensource brezmadežen. Ti si tisti, ki konstantno odgovarjaš na to neobstoječo izjavo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

tony1 ::

SMNS: Prosim, ne postavljaj retoričnih vprašanj, ker te bom pač nehal brati, kot še pol foruma. :|

Ne, open source ni ne brezmadežen in ne bolj kakovosten. Tega nihče ne trdi.

Pušča pa ti odprto možnost, da daš na nos očala. Brati videno pa se boš moral naučiti.

Poldi112 ::

O, bolj kakovosten je definitivno. V popvrečju. Že samo če pogledaš agilnost pri krpanju lukenj ti je hitro jasno, da je open source krepko v prednosti. Kar pa jasno ne pomeni, da je brez problemov, oz. da ker je bolj varen, da je kar absoultno varen.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

tony1 je izjavil:

SMNS: Prosim, ne postavljaj retoričnih vprašanj, ker te bom pač nehal brati, kot še pol foruma. :|

Ne, open source ni ne brezmadežen in ne bolj kakovosten. Tega nihče ne trdi.

Pušča pa ti odprto možnost, da daš na nos očala. Brati videno pa se boš moral naučiti.

Pa trdite. Samo, ko se vam na rep stopi zacvilite in začnete trditi, da tega niste nikoli trdili.
Ampak že v naslednjem stavku pa se spet ponavljate s tem, da lahko vsak gleda odprto kodo in fuj fuj ful zaprta koda. Ena in ista lajna.

Že sama trditev, da lahko vsak gleda kodo Opensource-a, je zbujanje vtisa, da se to tudi dejansko počne, da je vse pregledano, da je vse brezmadežno. PRENEHAJTE S TEM! Potem se bomo pa lahko kaj drugega pogovarjali.
Pismu, ste kot užaljeni otroci, ki se skrivajo za mamino kiklo! "ampak saj lahko vsak gleda nooooooooo!"
Grow up and open your eyes!

Poldi112 ::

Še kar operiraš z absolutizmi. Seveda se gleda in vse kar moraš narediti, da prideš do "dokaza" je, da pogledaš issue tracker izbranega projekta. A je to res tako zahtevna naloga?

Zdaj a to pomeni, da se najde vse bug-e? Ne, itak da ne. To je zgolj tvoja fantazija, ki te vsakič znova v teh temah meče kot najstnika. Zdaj če hočeš nadaljevati s tem sranjem bi te pa lepo prosil, da za začetek citiraš, kje famozno trdimo, da je vse brezmadežno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Brrr..... kaj sem gor pisal o dokaj svežem primeru projekta, ki je na koncu kradel naslove in gesla bitcoin denarnic?

Dobesedno vtikaš glavo v pesek in negiraš DEJSTVA, ki se DOGAJAJO.

Ne gre se za to, kaj BI lahko kdo počel. Gre se za to, kaj se DEJANSKO počne.
Za koliko knjižnic oz. paketov na tvojem Linux sistemu si lastnoročno preveril vse to, kar zgoraj navajač, da 'lahko' preveriš? Koliko prstov rabiš, da jih našteješ?

To ti je isto, kot bi gledal biblijo in na osnovi tega trdil, da je krščanstvo najboljša stvar, ki je lahko doletela človeštvo.

Poldi112 ::

Dejstvo je, da se ti pogovarjaš s svojimi imaginarnimi prijatelji in še kar nisi uspel sproducirati linka, kjer trdimo, da je opensource brezmadežen.

Ne, ne pregledujem varnostno kode knjižnic. Niti ne vem, kakšno vezo ima to z dejstvom, da mnogo ljudi to počne ter pošiljajo patche? A zaradi njihovih patchev jaz nisem bolj varen, ker jih nisem sam napisal, al kako gre to po tvojem?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

Dejstvo je, da se ti pogovarjaš s svojimi imaginarnimi prijatelji in še kar nisi uspel sproducirati linka, kjer trdimo, da je opensource brezmadežen.

Ne, ne pregledujem varnostno kode knjižnic. Niti ne vem, kakšno vezo ima to z dejstvom, da mnogo ljudi to počne ter pošiljajo patche? A zaradi njihovih patchev jaz nisem bolj varen, ker jih nisem sam napisal, al kako gre to po tvojem?

Pa ti ločiš med bug fix-om in security fix-om?

Bugi se ob uporabi odkrivajo vsakodnevno in ne prideš mimo krpanja, če hočeš, da bo software funkcionalen.

Varnostne luknje pa običajno ne vplivajo na funkcionalnost, zato se tudi veliko težje odkrijejo. Tudi popravkov zanje je bistveno manj.

Problem je še v tem, da je odkrivanje varnostnih lukenj dokaj lukrativna dejavnost, saj lahko iztržiš kar lepe zneske zanje, če jih 'ustrezno' prodaš - namesto da jih obesiš na veliko zvon in omogočiš njihovo krpanje.
Pa saj že vrabci čivkajo, da na darknetu obstajajo pravcate borze z 0-day exploiti.

Ti pa naivno o tem, kako lep in krasen je svet, kje vsi nekaj 'preverjajo' in vsi nekaj 'popravljajo'. Dream on!

Poldi112 ::

Kolega, sanjaš ti. Tako da dokler ne sproduciraš linka, kjer tako sanjamo tudi ostali (kot sem te že parkrat prosil), ti želim zgolj lep dan.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

Kolega, sanjaš ti. Tako da dokler ne sproduciraš linka, kjer tako sanjamo tudi ostali (kot sem te že parkrat prosil), ti želim zgolj lep dan.

Čemu? Da sebi dokazujem, kar že itak vem? Ti si pa res za hece!

Ales ::

Ni za hece, jaz bi tudi rad link, kjer nekdo trdi, da je odprta koda brezmadežna. Evo, jaz jo praktično povsod zagovarjam (pa uporabljam vse OS-e in marsikateri zaprtokodni program, da ne bo pomote), tako da boš v mojih temah sigurno našel vsaj 10 takih izjav... oh wait... ali pač ne boš?

Svoje lastne predstave projeciraš na druge. In zdaj boš to še 15x ponovil, linka pa kar ne bo.

SeMiNeSanja ::

Ales je izjavil:

Ni za hece, jaz bi tudi rad link, kjer nekdo trdi, da je odprta koda brezmadežna. Evo, jaz jo praktično povsod zagovarjam (pa uporabljam vse OS-e in marsikateri zaprtokodni program, da ne bo pomote), tako da boš v mojih temah sigurno našel vsaj 10 takih izjav... oh wait... ali pač ne boš?

Svoje lastne predstave projeciraš na druge. In zdaj boš to še 15x ponovil, linka pa kar ne bo.

Noben link ni potreben. Odpri katerikoli topic, kjer se govori o odprti kodi in boš našel najmanj 20x napisano, da je vsa odprta koda nevem kako zelo pregledana.

TO pa je zelo grdo zavajanje! (lahko tudi rečeš, da je laž)

S tem tudi nakazujete, da je odprta koda kvazi 'brezmadežna' (vsaj v okviru tega, kar lahko normalen pregled odkrije).

Zdaj se pa delate, kot da o temu nič ne veste....
Link rabite.... za kaj že? Za lastno sprenevedanje in spreobračanje resnice?

Koliko linkov bi rabili, da bi se vam dokazalo, kako sfaljena je tista trditev o silni pregledanosti odprte kode? Mislim, da vam tudi miljon linkov nebi izbrisalo te lažne vere iz glave.

jype ::

SeMiNeSanja je izjavil:

Noben link ni potreben. Odpri katerikoli topic, kjer se govori o odprti kodi in boš našel najmanj 20x napisano, da je vsa odprta koda nevem kako zelo pregledana.
Me veseli, da parafraziraš, ker to jasno pove, da ne moreš citirat.

SeMiNeSanja je izjavil:

TO pa je zelo grdo zavajanje! (lahko tudi rečeš, da je laž)
Če te parafraziram: Ti praviš, da je zaprta koda najboljše kar lahko obstaja.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja je izjavil:

Noben link ni potreben. Odpri katerikoli topic, kjer se govori o odprti kodi in boš našel najmanj 20x napisano, da je vsa odprta koda nevem kako zelo pregledana.
Me veseli, da parafraziraš, ker to jasno pove, da ne moreš citirat.

SeMiNeSanja je izjavil:

TO pa je zelo grdo zavajanje! (lahko tudi rečeš, da je laž)
Če te parafraziram: Ti praviš, da je zaprta koda najboljše kar lahko obstaja.

ČE bi bral kar sem pisal (se bojim, da nobeden od vas ne!), bi videl najmanj 3x samo v tem postu izrecno napisano, da to ne drži.

Celo izrecno sem napisal, da ni govora o tem katera koda je bolj ali manj kakovostna ali varna.

GOVOR je o tem, da se ustvarja lažni vtis, kako zelo hudo je odprta koda pregledana, kar pa za ogromno količino odprte kode NE drži.

Pa kolikokrat naj vam to še napišem? Nimam popolnoma nič proti odprti kodi in njeno uporabo z veseljem zagovarjam. Ampak presneto, nehajte se sprenevedati, kako zelo hudo, da je ta koda varna, ker jo kvazi lahko vsakdo vpogleda.

Ko se boste nehali sprenevedati, bo to kvečjemu koristilo odprti kodi, saj se bo dvignila njena pregledanost - ali pa se bo začelo iskati metode, kako bi se jo rangiralo glede na to, koliko se lahko kdo nanjo zanese.

Tako pa je vsa v istem košu. Od vrhunske, ki so jo gradile top ekipe in se jo je po 10x pregledovalo - do tiste, ki jo je sosedov mulc spenil in se je nekako znašla na nekem download-u, pa jo še sam avtor ni 2x pogledal, če bi lahko vsaj malo optimiziral kodo.

O TEM je govora. Tako da se nehajte že sprenevedat in vse voditi v smeri 'svete vojne' odprto/zaprto. Nikomur s tem ne delate usluge, še najmanj pa odprti kodi in njeni kakovosti.

jype ::

SeMiNeSanja je izjavil:

GOVOR je o tem, da se ustvarja lažni vtis, kako zelo hudo je odprta koda pregledana, kar pa za ogromno količino odprte kode NE drži.
Govor je o tem, da je odprta koda _lahko_ pregledana, zaprta pa _ne more biti_, zato odprta koda _težje_ skriva nezaželene reči.

SeMiNeSanja je izjavil:

Tako pa je vsa v istem košu. Od vrhunske, ki so jo gradile top ekipe in se jo je po 10x pregledovalo - do tiste, ki jo je sosedov mulc spenil in se je nekako znašla na nekem download-u, pa jo še sam avtor ni 2x pogledal, če bi lahko vsaj malo optimiziral kodo.
Vrhunska koda, ki so jo gradile top ekipe in se jo je po 10x pregledovalo, je z varnostnega vidika slabša, če je zaprta, ker mi ne moremo zaupati niti tistemu, ki jo je ustvaril, niti tistemu, ki jo je pregledal, sami je pa ne moremo pregledat brez vlaganja znatno večjega napora v to početje, kot bi ga bilo potrebno vložiti v pregled odprte kode.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

Pa daj se že nehat sprenevedati, da si sploh sposoben pregledati današnje napredne enkripcijske knjižnice.

3/4 programerjev pojma nima, kaj security sploh je. Fokusirajo se na funkcionalnost in to je to. Varnost potegne ta kratko. In to velja že za osnovne zadeve, kot npr. spetne strani. Kje so šele zadeve, za katere še nadpovprečen matematik ne bo rekel, da mu je čisto jasno, za kaj se gre.

Ampak kot sem rekel, takoj surla, če se reče 'odprta koda'. Daj pokaži mi 10 slovencev, ki se jim vsaj približno sanja, za kaj se gre npr. v OpenSSL knjižnicah. Koliko teh je potem še sposobnih najti varnostno pomanjkljivost v implementaciji?
In koliko od tehm ki so sposobni najti takšno pomanjkljivost, se potem dejansko ukvarja z iskanjem teh? 1? Mislim, da bo prej -1 kot 1! Še to ne - po mojem mnenju -10!

Skratka serješ govna po domače povedano.

Če nimaš pojma v kaj gledaš, če popolnoma vseeno, ali je koda odprta ali zaprta. Pika!

In nehaj zganjat sveto vojno, ker si spet šel v zaprto/odprto kodo. Lažen občutek varnosti je 100x slabši, kot zavestna uporaba rešitve, za katero veš, da mogoče pa ima NSA nek backdoor, pa jo zato uporabljaš na način, ko je tak backdoor brez koristi.

To kar ti in tvoji somišljeniki zganjate, zgolj ustvarja lažen vtis varnosti, zgolj zato, ker nekje obstaja nek source, ob rešitvi pa piše 'OpenSource'. Zaradi takega propagiranja se prenese zadevo iz nepreverjenih spletnih strani, ne preverja se, če je prevedena verzija enaka izvorni kodi, itd. itd. Pade vsa kritičnost - ker je kvazi vse 'Open'. Kje je lažje podtakniti črva, kot tam, kjer vsi mislijo, da je vse 'cool'?
Žalostno, da znaš samo z zaprto kodo kontra-argumentirat. Moje 'teženje' stremi k izboljšavi OpenSource-a. Kaj pa tvoje? Črnjenje zaprte kode? Žalostno, če boljšega nisi sposoben!

Zgodovina sprememb…

euagrus ::

SeMiNeSanja je izjavil:

euagrus je izjavil:

Prevec samopromocije zgoraj. Https dekriptam, da se ze samo reklam znebim, for fun, vse kar je, da se jaz kaksno krilatico uporabim, vektor napada, tece eno izolirano od drugega v jailih, njihovi podatki so na nullmountih, vsak dan se celotna vsebina snapshot reverta in, spet for fun, majckeni custom spisani programcki skrbijo, da koncas ob cudnih akcijah, v honeypotu. Pa se nekaj custom resitev, kjer se igram z network stackom in jih ne bos nikjer nasel, niso nikjer objavljene. Tako da... Eni hodijo na konference, drugi pa... Se jim ne da predavat na konferencah :))

Kdo govori o predavanju na kakšnih konferencah?
Eno je posredovanje znanja drugim, drugo pa je 'showbiznis', ki se ga zganja na konferencah, kjer z izobraževanjem imajo kvečjemu kakšne tematske delavnice še nekaj veze. Drugače pa so te konference vse bolj zabavne marketing prireditve. Žalostno pri tem je, da moraš običajno še krepko plačati, da te 'masirajo' z marketingom....

Samopromocijo pa sem prej zasledil v tvojem postu. Jaz sem v mojem govoril o splošnih principih, pojasnil nekaj pojmov. Če na koncu pribijem, da zainteresiranim z veseljem pokažem kako se to dela...ne vem, kje je tu samopromocija?

Kaj ni grda samopromocija trditi, da si odkril Ameriko in toplo vodo, pa tega nikomur nebi pokazal?


Vse kar si naklamfal bi z istim stevilom besed lahko razlozil. Jaz sem zasledil zastonj reklamo ;)

Sicer se pa z zgoraj npisanim lahko samo strinjam. Za vecino je koda enako kripticna, pa je vseeno ali je v javi ali pa v dissasemblyu. Cisto nepomembno ali je closed ali open source, vecina ljudi, ki zagovarja open source "varnost" to pocne ne zaradi varnosti ampak ker lahko na racun open source developerjev, z malo truda in znanja sluzijo in zagovarjajo "odprtost" samo kot diskreditacijo closed source kode, kjer tega pac ne morejo poceti.

Smo v tem letu ze videli dockerjeve "open source" kontejnerje, kako so veselo rudarili kriptovalute, pa jih je neskoncnokrat lazje pregledati kot openssl.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

Ales ::

SeMiNeSanja je izjavil:

Ales je izjavil:

Ni za hece, jaz bi tudi rad link, kjer nekdo trdi, da je odprta koda brezmadežna. Evo, jaz jo praktično povsod zagovarjam (pa uporabljam vse OS-e in marsikateri zaprtokodni program, da ne bo pomote), tako da boš v mojih temah sigurno našel vsaj 10 takih izjav... oh wait... ali pač ne boš?

Svoje lastne predstave projeciraš na druge. In zdaj boš to še 15x ponovil, linka pa kar ne bo.

Noben link ni potreben. Odpri katerikoli topic, kjer se govori o odprti kodi in boš našel najmanj 20x napisano, da je vsa odprta koda nevem kako zelo pregledana. ...

Evo, med tem si že ene 5x ponovil ene in iste bedarije, linka od nikoder. Ponavljaš se kot pokvarjena plošča.

Daj link na en post v neki temi, EN POST, kjer je nekdo izrecno napisal, da je vsa odprta koda "nevem kako zelo pregledana". Ali brezmadežna. Al karkoli, kar si nabijal o tem.

In seveda ga ne boš dal, še naprej boš nabijal v tri krasne in vse druge sodil po svojih lastnih predsodkih.

SeMiNeSanja ::

@Ales? WTF?!?

Saj sam ne veš več, kaj bi rad povedal.
Najprej si bil na tem, da kao noben ne trdi, da je OpenSource brezmadežen.
Zdaj si pa že na tem, da niti nihče ne trdi, da je nevem kako pregledan?

Pa ne, da potem trdiš isto kot jaz?

Kaj, ko bi najprej razmislil, kaj hočeš povedat? Nekako ne gre, da v vsakem naslednjem postu negiraš predhodne trditve.

In še kar bi rad imel linke. Pa kaj sem jaz tvoj privatni Google asistent ali kaj?
In še to da naj ti razlagam, kako se razume, kar si sam napisal?

Otroci. Vaš problem je predvsem funkcionalna nepismenost kombinirana z nestrpnostjo.
Čim je napisanega več kot dve vrstici, jih niste več sposobni prebrati od začetka do konca in pravilno interpretirati vsebino. SMS generacija. 80 znakov, potem pa panika.

Potem pa zagledate BESEDILO. Groza! Le kaj si norec domišlja, da napiše BESEDILO! Pa kdo bo to bral? Ajde... pogledaš 'iz aviona'. Piše nekaj...kaj že? Open Source? Ja kako si upa! Pa ne mi udrihat po mojem Open Source! Panika! Dejmo kontra. Uf, na kaj že? bemmu, kdo bo že bral vso solato... aja, naj mi napiše link, pa bo utihnil....

Pismu, pa kaj vam bodo linki, če niste sposobni brati. Vam bo kdo spustil link, pa boste morali še več brati! Vas ni nič strah?

In zakaj vse to? Ker se iz same nestrpnosti sploh nočete ukvarjati z bistvom povedanega. Spodjebavate, pa dobite za vas še manj razumljiv odgovor.

Moj predlog:

Če napisanega besedila niste prebrali............. se nanj ne odzivajte.
Če napisanega besedila niste razumeli............. VPRAŠAJTE kar niste razumeli!

NIKAKOR pa ne napadajte pisca, če vam niti ni jasno, kaj vam je hotel dopovedat.
Sploh pa se ne vpletajte, če vas itak ne zanima, kaj je hotel povedati.

jype ::

SeMiNeSanja je izjavil:

WTF?!?
NO U!

Ales ::

SeMiNeSanja je izjavil:

...
Najprej si bil na tem, da kao noben ne trdi, da je OpenSource brezmadežen.
Zdaj si pa že na tem, da niti nihče ne trdi, da je nevem kako pregledan?
...

Ponavljal sem tvoje besede in tvoje trditve za tabo. WTF, a za par postov nazaj ne veš, kaj si napisal? Tvoje dobesedne besedne zveze so to, luba duša! "Brezmadežen" in "nevem..." so tvoja lastna podtikanja, da to kao drugi mislijo o odprti kodi. Pa saj ne moreš biti toliko zabit, da lastnih besed ne prepoznaš! Še namerno sem ti pustil narobe napisano "nevem", pa nemogoče da ti še potem ne potegne!

In še kar ni niti enega samega linka, samo eno in isto, še n-tič ponavljanje enega in istega do nezavesti.

Na koncu bomo res prišli na 15x, kakor sem zgoraj napisal, da bomo. Tisto je bilo v šali, če nisi dojel. Res ti ni treba 15x napisati ene in isto neumnosti. Res. Čisto zares ni ni treba! Ampak vem, da boš. Enostavno si ne znaš pomagati. Post za postom, isto in isto in isto in isto.

In še kar ne bo niti enega samega samcatega linka, je tako? :))

SeMiNeSanja ::

@Ales - DOVOLJ je!

Počutim se, kot bedak, ki skuša flat earth fanatiku dopovedati, da je zemlja vendarle okrogla.

Če hočeš, si preberi kaj sem napisal, če ne.... tvoj problem!
In ne obnašaj se, kot da sem ti dolžan karkoli dokazovati.
«
1
2 3
...
5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft dodal OpenSSH v Windows

Oddelek: Novice / Operacijski sistemi
2310820 (7456) pegasus
»

OpenSSH client bug CVE-0216-0778

Oddelek: Informacijska varnost
132636 (2344) jype
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost
104850 (3819) BlueRunner
»

OpenSSH za Windows in certifikat

Oddelek: Omrežja in internet
62348 (2348) Poldi112

Več podobnih tem