Novice » Varnost » ESET odkril 21 kosov malwara za Linux
jype ::
Open source je najbolj brezmadežno secure, ker je koda pregledana in nima nobenih varnostnih pomanjkljivosti!
Da boš mel za citirat, k se počas človeku že smiliš.
Da boš mel za citirat, k se počas človeku že smiliš.
Saul Goodman ::
SeMiNeSanja je izjavil:
@Ales - DOVOLJ je!
Počutim se, kot bedak, ki skuša flat earth fanatiku dopovedati, da je zemlja vendarle okrogla.
Če hočeš, si preberi kaj sem napisal, če ne.... tvoj problem!
In ne obnašaj se, kot da sem ti dolžan karkoli dokazovati.
teb seNeSanja da si dosadan v vsaki temi, a? pač povej, da ti je šiht spral možgane in si alergičen na besedno zvezo odprtokoden. te iste backdoore, ki jih odkrivamo šele po 10 letih, bomo v tvojih blackboxih gledal še 20 nadaljnih.
SeMiNeSanja ::
Še eden, ki išče priložnost za spodjebavanje?
Pa kaj vam je ljudje? Stvari, o katerih cel svet govori negirate in za dosadnega bedaka proglašate tistega, ki si tu upa o tem spregovoriti.
Ampak nič ne de, za mene je svet še vedno okrogel, pa če vi še tako glasno vpijete, da sem norec, ker v to verjamem.
Pa kaj vam je ljudje? Stvari, o katerih cel svet govori negirate in za dosadnega bedaka proglašate tistega, ki si tu upa o tem spregovoriti.
Ampak nič ne de, za mene je svet še vedno okrogel, pa če vi še tako glasno vpijete, da sem norec, ker v to verjamem.
MrStein ::
No, samo če povem s primero: odprto kodo bi lahko kdo pregledal, če bi si dal očala na nos; ko dobiš pred sabo zaprto kodo pa podpišeš, da se strinjaš, da je vzeti očala iz etuija prepovedano.
Zdi se *bistvena* razlika, kajne?
Ne ravno. Pogledaš še vseeno lahko. Pač rezultate objaviš anonimno. Ali pa pod "akademsko izjemo".
(ker če kdo ni opazil, reportov o bugih v zaprtokodnih programih je enako kot za odprte - glej naslednje sporočilo)
Še kar operiraš z absolutizmi. Seveda se gleda in vse kar moraš narediti, da prideš do "dokaza" je, da pogledaš issue tracker izbranega projekta. A je to res tako zahtevna naloga?
Večina reportov tam NI na podlagi gledanja source kode. Ampak uporabe. Torej enako kot na zaprti kodi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jype ::
SeMiNeSanja je izjavil:
Ampak nič ne de, za mene je svet še vedno okrogel, pa če vi še tako glasno vpijete, da sem norec, ker v to verjamem.Men je vseen, če ti mislš da se sonce suče okoli sveta, js že vem, da se ne.
Zgodovina sprememb…
- spremenilo: jype ()
SeMiNeSanja ::
Ali sem jaz tisti 'užaljeni' ki skače v zrak, čim se omeni odprtokodno programje ali ti in kompanjoni? In vse to, ob tem, da se sploh niste ukvarjali z bistvom tega, kar sem napisal, ampak vam je namen izključno spodjebavanje.
Potem pa je pri meni intelekt odsoten?
Bravo!
Potem pa je pri meni intelekt odsoten?
Bravo!
jype ::
SeMiNeSanja je izjavil:
Ali sem jaz tisti 'užaljeni' ki skače v zrakDa.
SeMiNeSanja je izjavil:
Bravo!Citiraj, saj zdaj lahko.
Poldi112 ::
Večina reportov tam NI na podlagi gledanja source kode. Ampak uporabe. Torej enako kot na zaprti kodi.
Ampak še vedno je dosti popravkov tudi zaradi pregledov, ki jih delajo firme/researcherji. In ti pač dvignejo nivo varnosti, mar ne? Ali so nepomembni, ker je bug reportov userjev 100x več?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
Večina reportov tam NI na podlagi gledanja source kode. Ampak uporabe. Torej enako kot na zaprti kodi.
Ampak še vedno je dosti popravkov tudi zaradi pregledov, ki jih delajo firme/researcherji. In ti pač dvignejo nivo varnosti, mar ne? Ali so nepomembni, ker je bug reportov userjev 100x več?
In kaj sem jaz prvotno drugega napisal? Še bistveno lepše sem povedal (ker ta tvoja poved je skrpucalo!).
Samo dokazujete, da niti enega stavka ne preberete od začetka do konca. Samo iščete posamezne besede, jih iztrgate iz konteksta, potem pa v napad.
Nekako imam občutek, kot da nekatere tukaj gor daje nekakšna paranoja, da bo nekdo komu kakšno stvar preveč lepo razložil. Ne vem zdaj, ali se bojite dejstev in resnice, ali pa imate težave s tem, da se nekdo potrudi dejsnako nekaj NAPISATI - ne pa samo druge spodjebavat, pa še to v Twitter slogu z max 130 znaki ali celo SMS slogu z 80 znaki.
Argumentacije? Kje so? Nobene argumente ne ponudite. Namesto tega sogovornika lovite na posamezne besede in nabijate 'daj link'.
Kultura? Diskusija? Kje je vse to?
Dajte malo razčistiti kaj hočete. Če ste samo zaradi spodjebavanja tu, potem se raje odklopite. Boste vsem naredili uslugo.
Kar je MrStein napisal popolnoma drži in se ni bilo potrebno zaganjati v njegov komentar. Da pa so določeni projekti tudi po 10x pregledani, pa sem že jaz zapisal v enem od prejšnjih postov. Torej Kaj je point tega 'jezikanja'? Trditi da nisem zapisal kar sem zapisal? Trditi, da je tisto, kar sem zapisal pravilno le če TI to zapišeš, če pa jaz, pa je bullshit?
Sorry. Res vas ne razumem. Očitno sem prestar, da bi lahko še dojemal te gnile fore, ki jih imate.
Zvezdica27 ::
kaj rogovilite...
koliko ljudi pa je sposobnih pregledati kodo? Tudi če je FOSS? Jaz se imam za advanced userja, a programirati pač ne znam. Kaj bom pol? Pa ko updatam, bom vse gledal?
Imam pa fwall, updatan sistem in nekozaupanje, da že v samem kernelu ni kaj zlo narobe (recimo da ni backdoora). Vse to mi nič ne pomaga, ker imam zdaj lubuntu, ki ima "root user backdoor". Se mi ne da.
Enostavno, v linux je prednost razpršenost distrojev, saj najbrž nek malware ne dela nujno na vseh distrotih.
Je pa težav s tem sranjem v zadnjih 15 letih skoraj 0 za razliko od winsov.
zz
koliko ljudi pa je sposobnih pregledati kodo? Tudi če je FOSS? Jaz se imam za advanced userja, a programirati pač ne znam. Kaj bom pol? Pa ko updatam, bom vse gledal?
Imam pa fwall, updatan sistem in nekozaupanje, da že v samem kernelu ni kaj zlo narobe (recimo da ni backdoora). Vse to mi nič ne pomaga, ker imam zdaj lubuntu, ki ima "root user backdoor". Se mi ne da.
Enostavno, v linux je prednost razpršenost distrojev, saj najbrž nek malware ne dela nujno na vseh distrotih.
Je pa težav s tem sranjem v zadnjih 15 letih skoraj 0 za razliko od winsov.
zz
SeMiNeSanja ::
Zvezdica27 je izjavil:
Je pa težav s tem sranjem v zadnjih 15 letih skoraj 0 za razliko od winsov.
Je kar res, da je presenetljivo malo težav - vsaj tako na 'površju'.
Ko je na Windows neka štala, je to običajno masovni dogodek z nevem koliko tisoči 'žrtev'. Npr. ransomware mimogrede lahko prizadane celo omrežje podjetja in to ne le lokalno, temveč tudi WAN omrežje (presneti SMB networking...).
Seveda se potem povsod piše, še na TV se zgodbe o tem prebijejo.
Linux je vseeno nekje v neki drugi sferi. Veliko bolj je na serverski strani, kot na desktop. Ko Linux nekaj prizadane, se to lahko zelo dolgo skriva, ne da bi to kdo opazil. Pa večinoma niti ne zadane sam Linux kot tak, ampak se 'okuži' neke web framework-e, zlorabi malomarno konfigurirane sisteme - da postanejo 'odskočne deske' za okuževanje drugih (Windows?) sistemov, ki do teh strežnikov dostopajo.
Tako je že zaradi načina, kako se uporablja malware, nujno, da ostane čim dlje neodkrit. Torej da ne prizadane delovanja sistema.
Malo drugačna zgodba. Ko tak okužen web server streže programčke za rudarjenje naokrog, se bo tudi pisalo o tem. Vendar se bo pisalo o okuženih odjemalcih, na katerih so ti programčki rudarili. Mogoče še o spletni strani, katera to golazen streže. Ne bo pa govora o tem, kakšen OS/framework je spodaj in kako je golazen sploh prišla na to spletno stran.
In vse to spet nima nobene veze z tako ali drugačno kodo. Ravno tako bi lahko bil okužen Windows server. Ampak roko na srce, je teh relativno malo v web hostingu. Tu daleč prednjačijo razni Linuxi. In spet to nima toliko veze s samim Linuxom, kot z (slabim in predvsem slabo vzdrževanim) programjem, ki je na njemu nameščen.
Skratka ne moreš kar vsega v isti lonec metati. Ni da bi ena reč bila dobra, druga pa slaba. Vsaka ima svoje prednosti in slabosti. Bistveno je, da poznaš prednosti in slabosti tistega, kar imaš na svojem omrežju in se temu ustrezno pripraviš na razne ne preveč ugodne scenarije. Samo zato, ker je neka škatla na Linux-u, pač ne boš opustil njenega backup-a, ker si nekje slišal, da baje na Linux-u ni ransomware-a.
Software je software in največja napaka, ki jo lahko narediš, je ta, da se slepo zanašaš nanj, da ne more imeti napak ali ranljivosti. Pa nima prav nobene veze, če vsi lahko vidimo izvorno kodo ali nihče.
MrStein ::
Večina reportov tam NI na podlagi gledanja source kode. Ampak uporabe. Torej enako kot na zaprti kodi.
Ampak še vedno je dosti popravkov tudi zaradi pregledov, ki jih delajo firme/researcherji. In ti pač dvignejo nivo varnosti, mar ne? Ali so nepomembni, ker je bug reportov userjev 100x več?
Ne vem. Imaš ti kako kvantitativno primerjavo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Nope. A jo rabim za trditev, da je koda, kjer pri varnosti sodelujejo tudi uporabniki, konkurenca in kdorkoli hoče, bolj varna od kode, za katero skrbi zgolj ena entiteta s precej žalostnim track recordom?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
Ja, za vsako trditev je potrebna podkrepitev.
Čutim na vodi ne šte... ohhhhh
Čutim na vodi ne šte... ohhhhh
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Kaj, a resno ne verjameš, da obstajajo popravki 3. oseb in ti moram it enega zgooglat, ali ne razumeš zgornje, precej simple matematike - x+y>x.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
ne verjameš
Aha, tu tiči problem.
Ti verjameš stvari, jaz jih vem.
Nikoli se ne bova razumela.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Sem že videl patche 3 oseb kolega, na lastne oči! Ni to vera, osnovana na strucu v oblaku, kot bi tu izgleda rad zdaj prodal.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
In kaj ima zdaj "patch 3. osebe" veze z vsem skupaj?
Realno gledano je vsak malware neke vrste "patch 3. osebe". In kaj zdaj?
Realno gledano je vsak malware neke vrste "patch 3. osebe". In kaj zdaj?
Ales ::
Kaj zdaj? Nič novega. Še vedno se ti nič ne sanja, niti tako osnovne stvari, kot kaj ima patch neke tretje osebe zveze z odprto kodo. Mi te moramo pa brati.
Zgodovina sprememb…
- predlagalo izbris: SeMiNeSanja ()
MrStein ::
In ti pač dvignejo nivo varnosti, mar ne?
Vprašanje je, ali dvignejo nivo nad tistega od CS.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Novica je o Linux-u. Boš zanikal, da je bolj varen, ker je odprt?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
poweroff ::
To, da je koda odprta je sicer super, mogoče celo pomemben predpogoj za varnost, ampak če je nihče ne gleda, ali pa če jo gledajo ljudje, ki ne razumejo varnosti, ta odprtost nič ne pomeni.
V bistvu bi morali za vso odprto kodo uvesti avtomatski White-Box testing (Static Application Security Testing) ter Fuzzing (Black Box software testiranje). Mislim sicer, da se nekaj takega že dogaja, samo nisem prepričan kako sistematično je.
Dodatno pa bi morali za odprto kodo izvajati tudi plačano varnostno testiranje s strani usposobljenih strokovnjakov - in rezultate javno objavljati.
Za mission critical rešitve pa bi se slednje moralo izvesti večkrat, s strani različnih teamov strokovnjakov.
Pri odprti kodi bi te stvari lahko naredili lažje kot pri zaprti, problem bi bile sicer finance, ampak le-te bi se tudi našle, ko bi se izkazali pozitivni učinki takega pristopa.
In se strinjam s SeMiNeSanja - zgolj dejstvo, da je koda odprta, še ne pomeni da je tudi avtomatsko bolj varna. Še več, lahko je celo manj varna, saj so stvari pogosto najbolj skrite ravno takrat, ko so vsem na očeh. Kar pomeni, da se vsi tolažijo s tem, da je kodo že nekdo drug pregledal, v resnici je pa ne nobeden. In to je zelo resna nevarnost.
V bistvu bi morali za vso odprto kodo uvesti avtomatski White-Box testing (Static Application Security Testing) ter Fuzzing (Black Box software testiranje). Mislim sicer, da se nekaj takega že dogaja, samo nisem prepričan kako sistematično je.
Dodatno pa bi morali za odprto kodo izvajati tudi plačano varnostno testiranje s strani usposobljenih strokovnjakov - in rezultate javno objavljati.
Za mission critical rešitve pa bi se slednje moralo izvesti večkrat, s strani različnih teamov strokovnjakov.
Pri odprti kodi bi te stvari lahko naredili lažje kot pri zaprti, problem bi bile sicer finance, ampak le-te bi se tudi našle, ko bi se izkazali pozitivni učinki takega pristopa.
In se strinjam s SeMiNeSanja - zgolj dejstvo, da je koda odprta, še ne pomeni da je tudi avtomatsko bolj varna. Še več, lahko je celo manj varna, saj so stvari pogosto najbolj skrite ravno takrat, ko so vsem na očeh. Kar pomeni, da se vsi tolažijo s tem, da je kodo že nekdo drug pregledal, v resnici je pa ne nobeden. In to je zelo resna nevarnost.
sudo poweroff
SeMiNeSanja ::
Samo res ne vem, zakaj eni na OpenSource gledajo kot na sveto kravo, do katere ne smeš biti niti najmanj kritičen.
Hecno pa je, da se ti isti, ki se klanjajo svetim kravam, običajno klanjajo tudi Snowdenu in njegovim razkritjem. Pa ne razumem.... ali se iz teh razkritij niso prav ničesar naučili?
Drugače pa bi bilo zanimivo videti kakšno raziskavo, koliko denarja so različne obveščevalne službe (in kriminalne združbe?) v preteklem letu zapravile za nakupe frišnih 0-day ranljivosti. Tistih, za katere še lep čas ne bomo videli popravkov.
Stavim, da se gre za presneto velike zneske.
Hecno pa je, da se ti isti, ki se klanjajo svetim kravam, običajno klanjajo tudi Snowdenu in njegovim razkritjem. Pa ne razumem.... ali se iz teh razkritij niso prav ničesar naučili?
Drugače pa bi bilo zanimivo videti kakšno raziskavo, koliko denarja so različne obveščevalne službe (in kriminalne združbe?) v preteklem letu zapravile za nakupe frišnih 0-day ranljivosti. Tistih, za katere še lep čas ne bomo videli popravkov.
Stavim, da se gre za presneto velike zneske.
Ales ::
In se strinjam s SeMiNeSanja - zgolj dejstvo, da je koda odprta, še ne pomeni da je tudi avtomatsko bolj varna.
Pa saj tega ne trdi on. To trdim jaz npr., pa še kdo v tej temi. On trdi, da mi vsi zagovorniki odprte kode menimo, da je koda ne vem (ali nevem, po njegovo) kako bolj varna in nasploh brezmadežna, samo ker je odprta. Blodnje.
Trdim pa, da odprta koda je lahko bolj varna od zaprte, prav zato, ker je odprta koda. To pa. Se pravi ne da kar apriori je, ampak da je lahko. Pomembna razlika, ki je npr. SeMiNeSanja iz nekega namena noče niti slišati.
Se pa ne strinjam s tem, kar praviš naprej:
Še več, lahko je celo manj varna, saj so stvari pogosto najbolj skrite ravno takrat, ko so vsem na očeh. Kar pomeni, da se vsi tolažijo s tem, da je kodo že nekdo drug pregledal, v resnici je pa ne nobeden. In to je zelo resna nevarnost.
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
SeMiNeSanja je izjavil:
Samo res ne vem, zakaj eni na OpenSource gledajo kot na sveto kravo, do katere ne smeš biti niti najmanj kritičen.
To je tvoj pogled na stvar. Govoriš o "enih" in o "gledanju, kot da je sveta krava", ko pa te vprašam za link na take izjave, pa fašeš živčnega in začneš govoriti o flat eartherjih.
Mirno si lahko kritičen od odprte kode, kolikor želiš biti. Samo ne podtikaj izmišljenih mnenj drugim ljudem.
poweroff ::
Trdim pa, da odprta koda je lahko bolj varna od zaprte, prav zato, ker je odprta koda. To pa. Se pravi ne da kar apriori je, ampak da je lahko.
S tem se tudi jaz strinjam. To je pomemben predpogoj. Predvsem ima pa odprtost veliko opraviti z zaupanjem.
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Jaz pa sem že nekajkrat opazil, da nekateri širijo taka stališča. Sicer večina ljudi, ki razume varnost sploh ne, najde pa se občasno kakšen, ki trdi, da že sama odprtost zagotavlja varnost. No, mislim, da se vsi strinjamo, da je ne, da je pa pomemben predpogoj za to.
sudo poweroff
spegli ::
"Strokovnjaki iz podjetja ESET"
Če to ni reklama potem sem peš. Ziher pa Linux s tem ko pridobiva na popularnosti, postaja zanimivejša tarča za bad boyse. A ni Android mal Linuxa ?
Če to ni reklama potem sem peš. Ziher pa Linux s tem ko pridobiva na popularnosti, postaja zanimivejša tarča za bad boyse. A ni Android mal Linuxa ?
Poldi112 ::
Jp, vojna je končana, linux je zmagal. Zdaj veselo laufa v Azure kot glavna zvezda MS prihodnosti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
thramos ::
Nope. A jo rabim za trditev, da je koda, kjer pri varnosti sodelujejo tudi uporabniki, konkurenca in kdorkoli hoče, bolj varna od kode, za katero skrbi zgolj ena entiteta s precej žalostnim track recordom?
Pravzaprav ja. Odprtokodnosti in track record sta morda res indica, ki to nakazujeta, ampak ko pride do varnosti, to ponavadi ni dovolj.
Brez težav lahko te dejstvi interpretiraš tudi drugače.
SeMiNeSanja ::
Trdim pa, da odprta koda je lahko bolj varna od zaprte, prav zato, ker je odprta koda. To pa. Se pravi ne da kar apriori je, ampak da je lahko.
S tem se tudi jaz strinjam. To je pomemben predpogoj. Predvsem ima pa odprtost veliko opraviti z zaupanjem.
In točno ta predpogoj ponavljam kot pokvarjena plošča. Ampak če nekdo prebere samo prvo in zadnjo besedo tega, kar napišem.....
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Jaz pa sem že nekajkrat opazil, da nekateri širijo taka stališča. Sicer večina ljudi, ki razume varnost sploh ne, najde pa se občasno kakšen, ki trdi, da že sama odprtost zagotavlja varnost. No, mislim, da se vsi strinjamo, da je ne, da je pa pomemben predpogoj za to.
Točno to - kdor se razume v varnost. Koliko je teh v primrjavi z ostalimi? Manjšina? Peščica?
Karkoli tukaj napišeš, MORAŠ napisati v kontekstu, da to v 90% vidijo ljudje, ki se na na varnost razumejo glih ene toliko, kot jaz na upravljanje vesoljske postaje. Ljudje, katere je nujno potrebno ozaveščati in jim posredovati nek občutek, na kaj morajo biti pozorni.
Ko se govori o software-u tudi ne smeš govoriti izključno o tistih 'kritičnih' komponentah, kamor vsi, ki se kaj na to razumejo, vtikajo svoje nosove.
Sploh komponente, katere uporabljajo tudi različne komercialne rešitve, se povsem drugače pregledujejo, kakor neko orodje, ki ga je npr. Jype 'spacal' za svojo stranko, ki o programiranju nima najmanjšega pojma. Vsaj predvidevam, da Jype oz. njegova mala stranka ne plačuje revizorje, ki bi šli pregledovati njegovo kodo za potencialnimi backdoori?
V praksi se je dejansko vedno znova potrdilo, da se varnostne luknje v večini primerov najdejo po naključju oz. pri testiranjih v uporabi. Ko se odkrije nova ranljivost, se potem vsuje plaz iskanja, kje vse še lahko pričakujemo isto ranljivost.
Vse lepo in prav - ko se govori o svetli plati posla.
Obstaja pa tudi temna plat. Ranljivosti, ki se jih najde, je možno tudi izredno dobro vnovčiti. Lahko obvestiš avtorja. V primeru komercialnega programa na ta račun lahko dobiš kakšno nagrado (Bug Bounty). A ne vedno. Pri nekaterih ti poklonijo le nekaj malega 'slave', imaš pa tudi ekstreme, kjer bi te lahko čakala celo kakšna kazenska ovadba (zlasti pri spletnih aplikacijah) in obravnava, kot da si terorist.
Istočasno pa (baje?) na darknetu obstaja živahna tržnica s tovrstnimi informacijami.
Odprta/zaprta koda? Žal nimam vpogleda v kakšno od teh borz na darknetu, da bi lahko delal statistiko, katerih ranljivosti je več na prodaj. Na koncu tudi ni pomembna kvantiteta, temveč potencialna škoda, ki jo lahko določena ranljivost povzroči.
Povsem druga zgodba je, če imamo opravka z nečem takim, kot je EternalBlue ali pa z neko ranljivost, ki omogoča 'zgolj' local privilege escalation.
S tem, ko se eni 'frajerji' tukaj gredo norčevanje iz tistih, ki skušajo vsaj malo odpreti pogled na 'dogajanje', samo da bi se zagovarjalo svete krave (ki jih kot take sploh nihče ni napadal!), se dela predvsem škoda.
Ljudje namesto tega, da bi kaj prebrali in se malo podučili, si mislijo "bedaki se spet kregajo o Linux/Windows.. preskočimo to".
Žalostno je, da se mora tisti, ki skuša 'navadne smrtnike' nekoliko podučiti, na koncu 'zagovarjati' pred bedaki, ki nimajo nič boljšega za početi, kot braniti svete krave. Kot da smo v času inkvizicije, ko so čarovnice zažigali na grmadah.
Pri vsem tem tudi ne smemo pozabiti, da si lahko še tolikšen 'varnostni ekspert' - še vedno je prostora za osvežiti svoje znanje in za naučiti se kaj novega.
Tudi 'varnostni eksperti' delajo bedarije. Tudi take, katere sami pridigajo svojim strankam, da naj tega nikar ne počno. Ampak ne vem, če si lahko taho 'hud' strokovnjak, da vseeno nebi bilo zanimivo poslušati drugega strokovnjaka. Jaz sem sem si celo šel pogledat Arnesovo predavanje za varnostno ozaveščanje učiteljev. Tudi če je predavanje še tako basic, lahko z njega odneseš še kakšen nov pogled na tematiko, se spomniš na zadeve, ki so ti že zdavnaj ušle iz misli, ker sicer ne deluješ vsakodnevno na tem 'basic' nivoju.
Tukaj pa imamo opravka s sistemci in programerji, ki v večini primerov še zdaleč niso eksperti za varnost - teptajo pa vse tisto, kar povedo tisti, s katerimi se 'ideološko' ne strinjajo zaradi svojih svetih krav.
Obravnavanje software-a kot open/closed, je popolnoma enako, kot če bi ga obravnaval glede na to, ali so njegovi pisci levi ali desni. Rdeči ali črni. Liberalci ali konzervativci.
Samo ne vem kakšna tolažba ti je to, če ti izpraznejo bitcoin wallet z uporabo kompromitiranih odprtokodnih javaskript knjižnic, ne pa zaradi nekega zaprtokodneha programja. Z mojega vidika je to izredno slaba tolažba.
Pri vsem zagovarjanju svetih krav, pa zagovorniki na koncu še vedno pozabljajo, da vso to posvečeno kodo poganjajo na strojni opremi, katera im v svojem osrčju kopico zaprte kode. Matična plošča, disk,.....na koncu še tisti USB ključek, ki ga vtakneš v računalnik. Vse poganja zaprta koda. Kako si potem sploh lahko privoščiš neko diferenciranje, če takointako že v sami osnovi nimaš izbire?
tony1 ::
Spet postavljaš retorična vprašanja.
Kako bomo kaj spremenili na bolje (sam impliciraš: iz zaprte v odprto kodo), če se bomo postavili na stališče, da odprta koda nima prednosti, ker jo itak nihče ne bere?
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen, ker smo sprejeli logiko, da je pravilno šifrirne algoritme delati tako, da so nezlomljivi, ne pa tako, da niso znani.
Da bo šlo v softveru kaj občutno na bolje pa je treba izpolniti dvoje:
a) softver mora biti odprt, da se ga sploh sme revidirati
b) potrebujemo več ljudi, ki imajo dovolj znanja, da jo bodo znali revidirati.
Kako bomo kaj spremenili na bolje (sam impliciraš: iz zaprte v odprto kodo), če se bomo postavili na stališče, da odprta koda nima prednosti, ker jo itak nihče ne bere?
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen, ker smo sprejeli logiko, da je pravilno šifrirne algoritme delati tako, da so nezlomljivi, ne pa tako, da niso znani.
Da bo šlo v softveru kaj občutno na bolje pa je treba izpolniti dvoje:
a) softver mora biti odprt, da se ga sploh sme revidirati
b) potrebujemo več ljudi, ki imajo dovolj znanja, da jo bodo znali revidirati.
Zgodovina sprememb…
- spremenil: tony1 ()
SeMiNeSanja ::
Spet postavljaš retorična vprašanja.
Kako bomo kaj spremenili na bolje (sam impliciraš: iz zaprte v odprto kodo), če se bomo postavili na stališče, da odprta koda nima prednosti, ker jo itak nihče ne bere?
Katero retorično vprašanje sem postavil? Jaz ne vidim, da bi koga kaj vprašal.
TI ne boš nič spremenil na boljše - vsaj ne s tem odnosom do tistih, ki skušajo druge ozaveščati o varnostnih grožnjah in splošnih principih varnosti.
Spreminjanje na boljše se dogaja ravno preko ozaveščanja tistih, ki se na to področje ne spoznajo, ali pa imajo o njemu neke zgrešene, morda celo 'romantične' predstave.
In spet si pri sveti kravi - odprti kodi. KOLIKOKRAT ti je treba še povedat, da preberi zapisano predenj lajaš?
Imaš odprto kodo in odprto kodo. Tako, ki jo v določenem trenutki gleda tudi 50 programerjev in tako, ki jo že 10 let ni nihče pogledal. Če oboje skupaj daš na isto škatlo, ni prav nobene koristi od tega, kar si je ogledovalo sto strokovnjakov, če je gnilo jajce bilo podtaknjeno v komponenti, ki jo nihče ni pogledal.
TO je realnost. Seveda vsi upamo, da je takih komponent čim manj. Sploh na strežniških sistemih nekako ne pričakuješ, da bi bilo prav veliko takih komponent.
Popolnoma druga zgodba pa so uporabniški sistemi. Tudi če je sistem Linux, si uporabnik nanj nanese še marsikaj drugega, kar ni v uradnih repozitorijih, ki so vsaj malo pregledani.
K sreči je teh sistemov sorazmeroma malo, uporabniki pa so bolj napredni, kot pa tipični Windows uporabnik.
MrStein ::
V bistvu bi morali za vso odprto kodo uvesti avtomatski White-Box testing (Static Application Security Testing) ter Fuzzing (Black Box software testiranje). Mislim sicer, da se nekaj takega že dogaja, samo nisem prepričan kako sistematično je.
Za closed source se to izvaja.
(za zadnji dancing bunny widget verjetno res ne, za "resne" projekte pa)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Smo v linux novici. Kao novici, pač obstaja trojanec (novica bi bila, če ne bi...), ampak ajde :).
Jaz sem prepričan, da je linux varnejši zato, ker je odprt. Varnejši, kot bi bil sicer, in varnejši kot Windowsi. Ne samo zato, ker je odprt, ampak predvsem zato.
Zdaj če je ostalim tako hudo pomembno, da to ni res, se pač ne bomo strinjali. Ampak a lahko prosim počasi nehamo s tem sranjem?
Jaz sem prepričan, da je linux varnejši zato, ker je odprt. Varnejši, kot bi bil sicer, in varnejši kot Windowsi. Ne samo zato, ker je odprt, ampak predvsem zato.
Zdaj če je ostalim tako hudo pomembno, da to ni res, se pač ne bomo strinjali. Ampak a lahko prosim počasi nehamo s tem sranjem?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
SeMiNeSanja je izjavil:
Samo res ne vem, zakaj eni na OpenSource gledajo kot na sveto kravo, do katere ne smeš biti niti najmanj kritičen.
Hecno pa je, da se ti isti, ki se klanjajo svetim kravam, običajno klanjajo tudi Snowdenu in njegovim razkritjem. Pa ne razumem.... ali se iz teh razkritij niso prav ničesar naučili?
Folk se rad klanja. In veruje. A dam primere iz sosednjih tem?
Pred časom sem mislil odpreti temo "Miti in legende", kjer bi obdelali razširjene mite, kot se za forum z besedo "tech" v imenu spodobi, nakar sem se spomnil, da je 90% članov globoko vernih, in če bi "nasprotoval" njihovim prepričanjem, bi ne bili le jezni in žaljivi, ampak bi me verjetno kar na grmadi skurili...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen,
Hmm, kdo pa je postavil to trditev?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Uporabnika Poldi112 imaš torej na ignore listi?
Še kaki citat:
Jaz sem prepričan, da je linux varnejši zato, ker je odprt.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jype ::
SeMiNeSanja je izjavil:
Vsaj predvidevam, da Jype oz. njegova mala stranka ne plačuje revizorje, ki bi šli pregledovati njegovo kodo za potencialnimi backdoori?Seveda ne. Jype to naredi sam.
tony1 ::
SMNS: Tukaj si nekaj vprašal. Lepo sem te že prosil, da piši manj na dolgo in široko. Človek bi še dobil občutek, da sam pozabiš kaj vse si pisal...
SMNS: "Pri vsem zagovarjanju svetih krav, pa zagovorniki na koncu še vedno pozabljajo, da vso to posvečeno kodo poganjajo na strojni opremi, katera im v svojem osrčju kopico zaprte kode. Matična plošča, disk,.....na koncu še tisti USB ključek, ki ga vtakneš v računalnik. Vse poganja zaprta koda. Kako si potem sploh lahko privoščiš neko diferenciranje, če takointako že v sami osnovi nimaš izbire?"
V kilometrih vrstic svojih postov je to omenil SMNS.
SMNS: "Pri vsem zagovarjanju svetih krav, pa zagovorniki na koncu še vedno pozabljajo, da vso to posvečeno kodo poganjajo na strojni opremi, katera im v svojem osrčju kopico zaprte kode. Matična plošča, disk,.....na koncu še tisti USB ključek, ki ga vtakneš v računalnik. Vse poganja zaprta koda. Kako si potem sploh lahko privoščiš neko diferenciranje, če takointako že v sami osnovi nimaš izbire?"
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen,
Hmm, kdo pa je postavil to trditev?
V kilometrih vrstic svojih postov je to omenil SMNS.
Zgodovina sprememb…
- spremenil: tony1 ()
jype ::
Za closed source se to izvaja.Vemo, zato je pa toliko bolj nenavadno, da...
(za zadnji dancing bunny widget verjetno res ne, za "resne" projekte pa)
https://www.cvedetails.com/cve/CVE-2018...
MrStein ::
You
the point
Potem lahko citiraš.
Sicer pa je to res. Če lažje najdejo slabost "good guy", jih lahko lažje najdejo tudi "bad guy", a ne?
the point
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen,
Hmm, kdo pa je postavil to trditev?
V kilometrih vrstic svojih postov je to omenil SMNS.
Potem lahko citiraš.
Sicer pa je to res. Če lažje najdejo slabost "good guy", jih lahko lažje najdejo tudi "bad guy", a ne?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
jype ::
tony1 ::
You
the point
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen,
Hmm, kdo pa je postavil to trditev?
V kilometrih vrstic svojih postov je to omenil SMNS.
Potem lahko citiraš.
Sicer pa je to res. Če lažje najdejo slabost "good guy", jih lahko lažje najdejo tudi "bad guy", a ne?
Zgoraj sem ti na primeru najbolj varnostno občutljive reči sploh pokazal, da tvoj argument ne drži.
Poldi112 ::
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Uporabnika Poldi112 imaš torej na ignore listi?
Kolega, a sem kje trdil, da je open source apriori boljši? Jasno imaš miljon sranja. Ampak cream de la cream je pa pač daleč pred konkurenco, ker je tudi gorilla, kot je MS, komar v primerjai s koalicijo praktično vseh ostalih, od redhat, ibm, oracle, Ww, debian, cannonical, shitload enih vlad, raziskovalnih centrov (cern in njihov scientific linux)...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
MrStein ::
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Uporabnika Poldi112 imaš torej na ignore listi?
Kolega, a sem kje trdil, da je open source apriori boljši?
Seveda. V citatu, ki si ga izbrisal. Bom ga še enkrat napisal, kolega:
Jaz sem prepričan, da je linux varnejši zato, ker je odprt.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Pa še glede argumenta, da je odprtost slabost odprte kode, ker da jo berejo tudi zlobneži: ta argument je napačen,
Hmm, kdo pa je postavil to trditev?
V kilometrih vrstic svojih postov je to omenil SMNS.
Potem lahko citiraš.
Sicer pa je to res. Če lažje najdejo slabost "good guy", jih lahko lažje najdejo tudi "bad guy", a ne?
Zgoraj sem ti na primeru najbolj varnostno občutljive reči sploh pokazal, da tvoj argument ne drži.
A res? Luknje se skrijejo, če source kodo gleda "bad guy" ?
Glej, bomo tak: Najprej citiraj trditev, o kateri govoriš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Poldi112 ::
Ne opažam, da bi folk bil na splošno zaverovan v varnost odprte kode, samo zato, ker je odprta.
Uporabnika Poldi112 imaš torej na ignore listi?
Kolega, a sem kje trdil, da je open source apriori boljši?
Seveda. V citatu, ki si ga izbrisal. Bom ga še enkrat napisal, kolega:
Jaz sem prepričan, da je linux varnejši zato, ker je odprt.
Kolega, kontekts te jebe. Nikjer ne trdim, da je "APRIORI" boljši, definitivno pa je boljši v primeru Linux-a. Po mojem. Ti pa še kar ne moreš roditi svojega mnenja, ker ti je bolj pomembno, da mene loviš na detajlih.
Brez skrbi, ko me boš dobil, se ti bom opravičil. Do takrat pa vesel lov.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
Moje mnenje je, da se motiš. In izmotavaš. Plus na tone drugih trditev, ki jih lahko prebereš z enim samim klikom na napis "MrStein".
Čisto jasno, po slovensko si rekel, da je varnejši zgolj in le zato, ker je odprt.
Varnejši. Ne boljši. "Boljši" si ti naknadno potegnil v debato in nima veze z ničemer.
Če pa pišeš v bolgarščini in sem tvoj stavek narobe razumel, se opravičujem. Prosim v prihodnje piši slovensko.
Čisto jasno, po slovensko si rekel, da je varnejši zgolj in le zato, ker je odprt.
Varnejši. Ne boljši. "Boljši" si ti naknadno potegnil v debato in nima veze z ničemer.
Če pa pišeš v bolgarščini in sem tvoj stavek narobe razumel, se opravičujem. Prosim v prihodnje piši slovensko.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Microsoft dodal OpenSSH v WindowsOddelek: Novice / Operacijski sistemi | 10888 (7524) | pegasus |
» | OpenSSH client bug CVE-0216-0778Oddelek: Informacijska varnost | 2665 (2373) | jype |
» | Odkrita resna ranljivost v SSL in TLS protokolihOddelek: Novice / Varnost | 4875 (3844) | BlueRunner |
» | OpenSSH za Windows in certifikatOddelek: Omrežja in internet | 2372 (2372) | Poldi112 |