Microsoft trdi, da je varnost Linuxa mit

FreeBSD, NetBSD in OpenBSD jih pa (še) ne ogrožajo1?

Vsi poznajo delovanje algoritmov DES, 3DES, SSH, SSL, Blowfish. Vse je "odprtokodno" dokumentirano, pa kljub temu, ne slišim, da bi komu vdrlo ... OK slišal sem za SSH buge, ker so z raznimi stringi naredil programu SSH stack overflow, ampak, dejnsko ni nikomu uspelo razbiti ključe, ki so bili razviti pred očmi javnosti. Torej security WORKS! Poglejte recimo proaktivno zaščito OpenBSD. Ves oper. sistem je viden v izvorni kodi, vendar je secure by default! Kaj pravite na to!?

PS: Glandalf: BSD licenco sem zbrisal!

Nerdor: kaj ima BSD licenca za varnostjo? Ne mesaj v debato nerelavatnih stvari.

wtf.. kako je jutr sobota. Ne me strasit. A to pomen da sem en dan zgubu.

men nc jasn

eh, ne skrbi...sej petka maš še 23 ur pa 54 minut

Nerdor:
Zadnji primer je ruska skupina, ki je odkrila, kako pretentati shemo SP2. Microsoftova reakcija.. se bomo načakali še in še ...

dej link...

Gandalfar,
ljudje gledajo kodo, a ne vidijo vsi lukenj, sploh pa ne takoj. Sicer bi to vse videli že programerji med razvojem. Če bi bil človek zmožen opaziti vsako lastnost takoj, ko bi ji bil izpostavljen, bi bili že pred par tisočletji na tem tehnološkem in družbenem nivoju kot smo danes. Nekatere stvari ostanejo človeku skrite kar lep čas, čeprav jih ima pred nosom. Kakšnih nagnjen pa je oseba, ki jih prva odkrije, pa je bolj stvar sreče/nesreče. Kje so bili ti ljudje ostrega vida, ko je Hitler začel s politično kampanjo (je bilo namreč še daleč do masovnega klanja, a vendar je po tem že dišalo)? So bili med tem ves čas pri optiku ali rinologu???

In to ni le problem Linuxa, ampak kitajskih hlač s slabim šivom točno pod anusom in na splošno katerekoli tehnologije. Seveda se da to razširiti tudi na sociologijo, psihologijo in ekonomijo (ki je seveda tesno povezana s prvima dvema).

Glede Linuxa in MSa večkrat opazim izjemno inteligenco uporabnikov slo-techa..
1. Večina vas piše tko kot bi napisali najmanj enega ali pa dva OS, dnevno prelagali podatke sem pa tja po registrih v asmju in meli C,C++, Linux kernel pa Win32 API v malem prstu. Vsi strokovnjaki za ne vem kakšne luknje, patche in podobno. Čeprav žal ni tako - če bi bilo, bi bla Slovenija res ena hudo napredna dežela.
2. Enako kot pod 1. se oglašate tko kot bi bili vsi menedžerji in vsi vedli, kaj firme hočjo. Nekateri znate celo makroekonomijo, ki se glasi takole: "Če bi Windows nadomestili z Linuxom, bi rešili vse probleme proračuna, zraven pa bi ostalo še za prizadete v cunamijih". Oziroma tko približno.
3. Pol so pa tu še tisti, ki se majo za člane "community" in seveda lajajo na vse strani in se kitijo s tujim perjem, sami pa niso napisali niti 1000 vrstic od tistih milijonov vrstic kode.

Skratka, veliko besed, malo dejanj in znanja. Realnost je pa takšna -
http://www.feri.uni-mb.si/forum/display... .
Sej se vidi, kaj faks producira (od 200 vpisanih jih pride ven 10%). Nekak tko kot pri smučanju - če Tina Maze zmaguje, vsi Slovenci mislijo, kako dobri smučarji so.

> 3. Pol so pa tu še tisti, ki se majo za člane "community" in seveda lajajo na vse strani in se kitijo s tujim perjem, sami pa niso napisali niti 1000 vrstic od tistih milijonov vrstic kode.

No, enih par osebkov tukaj zelo rado pove, kako so prevedli nevemkakšna opensource jajca in se jim zdi ne samo da so vsaj boga za jajca prjel, če že niso še mal večji carji. Aja, pa uni fakerji z vlade so jim ukinl ministrstvo za financiranje prevodov, kera pizdarija mislm ej

Ja, Windowsi so res bolj varni. Sem si vsako leto instaliral Linux (najnovejšo verzijo ene od distribucij) in me ni prepričal. Fonti so obupni, nima ClearTypa, potreboval sem pol ure, da bi našel kak antivirusni program (cene so obupne - so cenejši WinsiHome+Norton kot en tak antivirusni program)

Meni gre res na živce, ko se eni hvalijo z ne vem kako varnostjo Linuxa le na osnovi tega, da ima uporabnik in procesi pravice kot 'guest account'. Saj tudi na Windowsih lahko zakleneš ven vse procese, ki potem tečejo z minimalnimi pravicami. Ali pa za vsak proces narediš poseben uporabniški račun.

Bistri, nekaj mi pravi da si v win sistemu admin in ne user...

No, nekateri pisemo na podlagi vsaj desetletnih izkusenj iz obeh (celo vecih) operacijskih sistemov, administracije sistemov, programiranja, hackinga driverjev in kernelov in user supporta za oba sistema.

Pa se nam se vedno zdi, da je McGrath malo nakladal. Preberite userfriendly, ki je bil objavljen v nedeljo. Sem dal ze link v eno drugo temo.


Microsoft,

Koda tega portala (slo-tech) pa nima nobene veze. Ne mores ga sneti v binarni obliki in si ga namestiti. Ne mores si ga sneti, nikjer. Kaj ti bo koda?

Poleg Googla imas pa se druge iskalnike. (PS: Jaz googla ne maram prav prevec, ceprav je hudicevo dober iskalnik, najboljsi)

Ja! Plain text mode! To bi jst imel...

Ja vedno bolj jim tece voda v grlo.

Najbolj pa mi gre na kozlanje te finte z darovanjem za revne ljudi v stistki pa makar od tega kmeta ali pa od razvitih kapitalisticnih drzav.(USA)
Zakaj: kar so ti ljudje revni ravno zaradi njih, ker jih ti nagibajo , kradejo in prodajajo prazne vrecke za dosti denarja , in imajo v svojih rokah vecino kapitala in resursov ki jih ne zelijo deliti z nikomer in zato imamo toliko revnih in za visek jim ljudje ki so jim ukradli vse moznosti kao podarijo neko malenkost .
Na tem svetu je dovolj vsega ( hrane,denarja,nafte,vode...) za vse ljudi , samo razdeliti si je treba pravilno.

Tisti, ki mislite, da se da varnost doseči s skrivanjem... ste že slišali za "security through obscurity"? Gre na kratko za tole: skrivanje ni garancija za varnost, ravno nasprotno. To se je pokazalo v kriptografiji. Kerchoffsov zakon si poglejte!
Kateri sistem je najbolj varen?
Npr. konkretno kateri kriptografski algoritem? Tisti, kjer je vsaka podrobnost povsem javno razgrnjena, kjer ima potencialni napadalec na voljo vse podatke o delovanju sistema, edino gesla nima. In če kljub vsem podrobnostim 8a brez gesla) NE MORE razbiti kriptograma, potem je sistem varen.

Zakaj?
Zato, ker v nasprotju s prepričanjem mnogih, je mogoče lastnosti sistema odkriti tudi če sistem ni javen! Konkretno kriptoanaliza se ukvarja s tem. In če varnost temelji na skrivanju lastnosti, to pomeni, da se da tako varnost z analizo sesuti.

Dokaz za to so tudi Windowsi: kljub temu, da koda ni javno dostopna, se redno najdejo nove varnostne luknje. Zakaj? Zato, ker security through obscurity NE DELUJE. Če bi delovala, potem za Windowse ne bi bilo možno odkriti toliko varnostnih lukenj - saj sourca ni javno dostopnega, ne?

Sicer je tudi za Linux precej exploitov, vendar poglejmo zadnji dve leti: koliko remote windows exploitov se je pojavilo in koliko remote Linux exploitov? Exploiti za Linux so večinoma za nekoga, ki je ŽE uporabnik, da si nezakonito pridobi root dostop. Ne pa od zunaj. Pri Windowsih pa lahko od zunaj vdreš in postaneš Administrator.

Zapomnite si: skrivanje ni garancija za varnost - praksa je dokazala da RAVNO NASPROTNO!

O MS EULA pa ne bi - če gre kaj narobe, ti MS jasnopove, da si si sam kriv. Oni niso odgovorni če se pojavi BSOD.

Bi bilo zanimivo vedet, koliko exploitov je glede na delež Linuxa/MS na PC-jih, kar je seveda edini podatek, s katerim lahko primerjamo varnost.

Naslov novice je že taprav, ampak kakšne pa tip stresa iz rokava je pa čista humoreska.

Drugač pa poskuste ostat na temi. OS : CS se greste lahko v kakšno drugo temo kregat

Hmm tale novica je napisana kot ocena nekega literarngea dela

iration: Bi bilo zanimivo vedet, koliko exploitov je glede na delež Linuxa/MS na PC-jih, kar je seveda edini podatek, s katerim lahko primerjamo varnost.

Napačno gledanje. Pravilno je takole: postavim sistem - kakšna je verjetnost, da mi vdrejo. Razširjenost nima nobene veze tukaj. Ko ti vdrejo je slaba tolažba, da so tudi 1000 drugim vdrli...

Sicer pa tisti, ki trdijo v stilu: "ja, Firefox je že varen, ampak zato, ker ni tako razširjn kot MSIE... počakajte, da bo imel FF 90% tržni delež, pa bomo videli za koga bo več exploitov". To razmišljanje kaže, da sploh ne dojemate koncepta informacijske varnosti!

Varnost NI produkt in ni nekaj statičnega - varovanje mora biti dinamično - prilagajati se mora. Gornji argument je kvečjemu v korist FF: ZDAJ je FF bolj varen... ko bo pa bolj razširjen, bom pa pač uporabil drug brskalnik, ki bo takrat bolj varen.

Kdor razmišlja tako, da si bo sedaj postavil "varen" sistem in ga potem uporabljal do konca življenja sploh ne razume kaj je to varnost. Stalno je treba biti na preži, stalno v "špici" Ja, vem - huda zahteva je to, ampak tako je. Če vam seveda ni vseeno za vaše podatke. Če vam pa ta "budnost" predstavlja večji strošek od vdora, potem pa pač OK, samo to mora biti zavestna odločitev. Zato, da tudi posledice odločitve zavestno sprejmete.

Nikjer ne piše, da morate biti vsi varni. Za nekatere je povsem dovolj, da imajo kišto polno spyware in virusov in vsak mesec porabijo nekaj dni, da na novo postavijo sistem. Če se pa kdo misli bolj resno (profesionalno) ukvarjati z varnostjo, bo pa pač spremljal zavede, stalno prilagajal svoj sistem, itd. Lahko pa tudi ubereš srednjo pot in malce tvegaš.

število exploitov na linuxu/število PC-jev z linuxom : število exploitov na windows/število PC-jev z MS Windowsi

To razmerje bi znalo kaj povedat o varnosti imho in pri tem upoštevat, da bo z deležem linuxa rasel tudi ratio v prid MS.

iration in Gigabit: preberita moj post. Ne gledat na varnost statično. Če je SEDAJ Linux bolj varen, ga bom sedaj uporabljal za kritične naloge. Ko bo nekoč nevaren, bom uporabljal nekaj drugega. Pa preden začneta odgovarjat se spomnita, da sem rekel za kritične naloge - to ne izključuje uporabe mešanih okolij.

Gigabit, ti ocitno nisi nikoli bil v klanu. Glej, ce igras 3 corr v warcraftu (recimo 5v5), in ti nasprotnik prevzame masino, potem postane to 5v4, oz. v zelo kruti verziji 4v6. In si prakticno izgubil igro. Posledice so katastrofalne. Ugled tvojemu klanu pade. Dneve si gradil na image-u in kvaliteti, in vse gre v nic samo zaradi ene crke v imenu. Ker imas wintendo namesto nintendo. Podobno je pri nogometu. Ce slucajno falis in tvoj klub kupi rebook namesto reebok, tega verjetno nihce ne bo opazil, ampak ti bos izgubil na svetovnem prvenstvu. In kar je huje, uradni razlog bo da ne znas igrati.
Cist toliko, da bos vedel, kaj je to mission critical.

Matthai,

primer skrivanja metode enkripcije in ne enkripcijskega ključa je pri GSM komunikaciji. Zaenkrat še ni znanega primere, da bi kdo od nepoklicanih razvozlal enkripcijski postopek. Res je nenavaden pristop in je v nasprotju s tistim, kar učijo, a vendar. Pri drugih metodah pa moraš skrivati privatni ključ - SKRITI ga moraš, in to hudičevo dobro SKRITI, drugače ne gre!!! Ne misli, da sme biti privatni ključ javni! Ko privatni ključ postane javni, je enkripcija brez pomena. Res se za varovanje prenosa hudo zaupnih informacij uporablja sprotno menjavanje enkripcijskega ključa. Ko so podatki na disku, pa je v navadi le statična enkripcija.

Varnega sistema ni, še zlasti zato, ker ga lahko ustvari tudi uporabnik sistema zaradi nepoznavanja konfiguracije ali pa če kdo privleče kakšnega trojanca. Če pri tem še prižgeš luč in daš nepovablejenmu vpogled v drobovje, si mu naredil veliko uslugo.

Smisel varovanja:
Za domačo rabo je smiselno le toliko, da ne izgubiš kakšnega težko pridobljenega wareza, seminarskih nalog ipd. Torej se moraš bati le kakšnih zlobnih virusov. Nate se bo spravil sicer le kdo, ki si se mu osebno zameril oz. organi pregona, če si ušpičil kaj resnično škodljivega. Če imaš še kakšne certifikate za bančno poslovanje ali kaj podobnega, ki pri komunikaciji ne zahtevajo dodatno generirnega ključa iz zunanje napravice, pa moraš paziti tudi nanje. V podjetjih in večjih organizacijah pa so zadeve precej drugačne, še zlasit, če so polni SKRIVNOSTI (predvsem poslovnih SKRIVNOSTI). Tam se pomembnejše podatke stalno arhivira zaradi tega, ker se ve, da se softver in hardver v praksi izkažeta za ne-varna (to je avtomatični dokaz v nezaupanje v katerikoli operacijski sistem, zlobce in hardver - Linux in drugo odprtokodno programje, kar se tiče (ne)varnosti in (ne)zanesljivosti, niso nobene izjeme).

V splošnem se varuje tisto, kar ima smisel varovati. Seveda pa prevladuje že kar bolestno prepričanje, da je treba hudo močno varovati tudi sisteme, kjer je od najpomembnejših zadev na sistemu solitaire ali minolovec.

Večina se vas lahko bolj boji nevarnosti v cetnem prometu kot pa na računalniku.

Linux je od profesionalcev (častni naziv :) ) za profesionalce (kategorija strokovnosti). Amaterjem zbriše vsebino diska.

Prepričan je, da Linux ni pripravljen za t.i. mission-critical naloge, pri katerih si ne moremo privoščiti niti sekundnega izpada.

Ne morem druga napisat kot LOL! Ocitno za M$ beseda izpad ne zajema procedure reboot vsakih par dni.