» »

Odkrit trojanec za Linux

1
2
3

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> 'Critical' security bugs dating back to 1987 found in X Window

X ?

Čemu?

SeMiNeSanja> Najdeno po 27 letih.... toliko o 'pregledanosti odprte kode', na katero se stalno sklicuješ. Auč?

Tudi ta luknja je bila lažje najdena zato, ker je koda prosto dostopna in še lažje popravljena iz istega razloga, zaradi licence pa tudi lažje distribuirana.

SeMiNeSanja> Prav sit sem že tega, ko stalno ponavljaš, da 'lahko vsak pregleda kodo'. Super, očitno bolj malo kdo kaj 'gleda' kodo - sploh pa samo od 'gledanja'....
SeMiNeSanja> To je tko kot greš na plažo in 'gledaš' bejbe - s tem še nobeno nisi posexal. Je treba še kaj več, kot 'samo gledat'.

Retardirane primerjave, značilne za retardirane primerljalce.

27 let - to pove vse, pa se ti zgovarjaj kolikor se hočeš na 'retardirance'. Samo da ne bomo na koncu prišli do statističnega rezultata, da se luknja v zaprtokodnih proizvodih najde prej, kot v odprtokodnih? 27 let....auččč!

Zgodovina sprememb…

  • predlagalo izbris: jype ()

McAjvar ::

SeMiNeSanja je izjavil:

27 let - to pove vse

To pove samo to, da se je nek bug odkrilo po 27 letih. Če hočeš pa iz tega sklepat, da se v odprti kodi hrošči odkrivajo kasneje, kot v zaprti, boš moral pa kako drugače to utemeljit. Al hočeš rečt, da se v zaprti kodi absolutno nikakor ne more zgodit, da hrošč toliko časa ostane neodkrit?
"[...] the advance of civilization is nothing
but an exercise in the limiting of privacy."
- Isaac Asimov

BigWhale ::

Jaz sem ze presaltal nazaj na Windows XP. Edini OS, ki je vsaj vreden tega imena.

PS: Windows 2000 Data Center Edition je se edini, ki mu pride blizu.

Zgodovina sprememb…

  • spremenil: BigWhale ()

SeMiNeSanja ::

McAjvar je izjavil:

SeMiNeSanja je izjavil:

27 let - to pove vse

To pove samo to, da se je nek bug odkrilo po 27 letih. Če hočeš pa iz tega sklepat, da se v odprti kodi hrošči odkrivajo kasneje, kot v zaprti, boš moral pa kako drugače to utemeljit. Al hočeš rečt, da se v zaprti kodi absolutno nikakor ne more zgodit, da hrošč toliko časa ostane neodkrit?

Niti slučajno, zgolj parodiram na Jype-a, ki skuša zbujati vtis, da je odprta koda 100% pregledana in neprebojna.

Moje mnenje je, da VELIKA večina uporabnikov odprte kode nikoli ne pogleda v izvorno kodo. Pretežno se predpostavlja, da 'bo že kdo' pogledal kodo, saj je vsakomur na voljo - pa se to dejansko tudi dogaja? Kot kaže redko. Šele, ko se nekje pokaže nek sum, se potem začne brskati po kodi in nenadoma začno padati okostnjaki iz omar.

Kdor izhaja iz predpostavke, da je odprta koda bolje pregledana in kvazi bolj varna, naj farba samega sebe, samo naj prosim ne farba še vse ostale okoli sebe.

Varnostni pregled OpenSSL kode je cel projekt in kdo ve, koliko časa bo trajal. Pa je to samo en kamenček v mozaiku celega strežniškega sistema. Koliko je še takih komponent, ki bi jih bilo treba pregledat? Kdo? Kdaj? Na svetu ni toliko programerjev, da bi se lahko vse pregledalo. Treba je pač imeti neko določeno mero zaupanja in skepse, temu pa tudi prilagoditi način rabe ter zaščito strežniških sistemov. In to ne glede na to, ali so odprto ali zaprtokodni.

jype ::

SeMiNeSanja> Niti slučajno, zgolj parodiram na Jype-a, ki skuša zbujati vtis, da je odprta koda 100% pregledana in neprebojna.

Značilnost slaboumnežev je, da slabo preberejo tekst, ali pa ga ne razumejo.

SeMiNeSanja> Moje mnenje je, da VELIKA večina uporabnikov odprte kode nikoli ne pogleda v izvorno kodo.

Tvoje mnenje je nepomembno, ker nihče ni trdil ničesar glede tega, koliko uporabnikov prostega programja ga dejansko pregleda.

SeMiNeSanja> Kdor izhaja iz predpostavke, da je odprta koda bolje pregledana in kvazi bolj varna, naj farba samega sebe, samo naj prosim ne farba še vse ostale okoli sebe.

Ta predpostavka stoodstotno drži, kar so dokazale številne študije na to temo.

SeMiNeSanja> Varnostni pregled OpenSSL kode je cel projekt in kdo ve, koliko časa bo trajal.

Varnostni pregled IE6 se ni zgodil nikoli in gospodarska škoda zaradi ranljivosti v njem se meri v milijardah dolarjev - pa še vedno ni izkoreninjen.

SeMiNeSanja ::

Sicer pa:

kdo je pred 27+ leti razmišljal o buffer overflow-ih in podobnih ranljivostih v kodi?

Kdo si upa napovedati, kakšne malomarnosti v kodiranju bodo zanamci čez 30 let očitali današnjim programerjem?

@Jype - vsak izgovor ti pride prav, mar ne? Samo upam, da boš imel srečo, pa da kdaj ne bo kdo 'razmontiral' kakšen server, ki ga imaš ti pod upravljanjem.

jype ::

SeMiNeSanja> @Jype - vsak izgovor ti pride prav, mar ne? Samo upam, da boš imel srečo, pa da kdaj ne bo kdo 'razmontiral' kakšen server, ki ga imaš ti pod upravljanjem.

Tudi če ga - to v ničemer ne spremeni para dejstev:

1. Prosto in odprto programje je _lažje_ pregledat in je _pogosteje_ pregledano in popravljeno kot lastniško programje.

2. Lastniškega programja se sploh nihče razen lastnika pravic ne sme lotit popravljat.

Zgodovina sprememb…

  • spremenilo: jype ()

Matthai ::

Saj odprtost kode ni zagotovilo, da je koda kvalitetna. Je pa to pomemben predpogoj.

Po drugi strani imamo software v telefonskih centralah, kjer se napake vlečejo še od 1970-tih let... and guess what - koda je zaprta.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Ko enkrat obstaja sum, da obstaja določena luknja v neki kodi, za tiste 'ta prave eksperte' ni prav hudo velika razlika, ali je koda odprta ali ne. Koneckoncev je lahko koda celo perfektna - če algoritem zadaj 'ne drži vodo' imamo še vedno opravka z varnostno luknjo.

Treba je gledati na odkrivanje lukenj v kodi iz dveh zornih kotov: good guy in bad guy aspekta.

Če bi kodo pregledovali le pridni fantje, bi bilo vse krasno. Toda odprto kodo gledajo tudi hudobci, ki ne bodo svojega odkritja obešali na veliki zvon in klicali po popravku kode! Kdo jim brani da takšno odkritje ne prodajo na 'borzi' za prgišče zelencev? Morda pa ima iz tega vidika Jype še celo prav, da je odprta koda najbolj pregledana - ampak žal ne vedno v uporabnikovo korist!

@Matthai - odpravljanje ali ne-odpravljanje znanih napak je dokaj 'vendor speciffic' zadeva. Imaš bele in črne ovce, pa še cel kup sivih vmes. Ampak mislim, da je treba priznati industriji, da se vendarle nekako trudi, da bi se izboljšala na tem področju. Žal ne vedno najbolj uspešno, a vendarle.

Matthai ::

Se trudi, kar je plus.

Ampak pozabljaš, da imajo bad guys dostop do zaprte kode. Veliki kupci (vlade) podpišejo NDA in kodo pregledajo.
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Pojem 'pregledovanje kode' me spominja na pregledovanje matematične domače naloge.

Če ne veš, kakšen rezultat mora priti ven in zgolj slediš računom, ki jih imaš pred seboj, se hitro znajdeš v položaju sledenju logike prvotnega reševalca in kaj hitro spregledaš kakšno očitno napako. Še toliko prej, če izhajaš iz predpostavke, da je nalogo reševal 'brihten dečko', ki načeloma obvlada stvar.

Dejansko je bolj zanesljivo, da nalogo sam rešiš, primerjaš rezultata in če se ne ujemata, pošičeš, kje je bila storjena napaka - pri čemer niti ne moreš izključiti, da si napako naredil ti.

Pri pregledovanju kode pa imaš to težavo, da ni nekega 'rezultata', ki bi ga lahko primerjal, zato lahko le slediš logiki, ki jo je uporabljal prvotni programer. Ni pa nujno, da je ta logika tudi tvoja lastna logika. Morda bi sam vso stvar spisal povsem drugače.
Sploh si lahko predstavljam, da lahko postane pregledovanje sila zabavno, če je prvotni programer skoparil z komentarji. Kolikšna je torej na koncu zanesljivost takšnega pregledovanja? Kdaj pride pregledovalec do točke, ko si reče 'mah, dost je bilo - zadeva dela, kaj čem še brskat po teh črevih?'?

Motivacija za brskanje je tu zagotovo bistveno večja pri hudobcih, kot pa pri pridnih fantih.

Se pa ne strinjam, da 'odprta koda' kar samo po sebi pomeni tudi 'pregledana koda', ker to pač ne drži. Imaš določene stvari, ki so pregledane, imaš pa malo morje 'drobiža', ki ga ni nihče pregledal. Iščeš neko simplistično orodje, Google te pošlje na en download... po opisu sodeče točno to, kar potrebuješ... odprta koda...cool...ampak pregledana? Kdaj? Od koga? Nak, to pa ne piše. Že res, da je poleg source. Kot navaden uporabnik ga lahko prevedem, kaj več pa mi ne koristi. Nisem programer, kaj mi bo torej gledanje v source kodo pomagalo, pa če tri dni ali pa tri mesece bulim v tisto kodo?
Tisti ki JE programer, pa tudi dvomim, da gre skozi vse vrstice kode in jih pregleduje, predenj zadevo prevede in začne uporabljati na svojem sistemu.

Z vidika varnosti pa so takšni download-i lahko ravno tako 'usodni', kot kakšna varnostna luknja v katerem od velikih 'uradno pregledanih' paketih.

jype ::

SeMiNeSanja> ampak žal ne vedno v uporabnikovo korist!

Tega tudi ni nihče trdil - so pa vse raziskave z jasno metodologijo do danes prišle do enakega zaključka: Odprta koda je kvalitetnejša, ker jo je pregledalo in popravljalo več ljudi.

SeMiNeSanja> Motivacija za brskanje je tu zagotovo bistveno večja pri hudobcih, kot pa pri pridnih fantih.

Pa je res? Mnogi izmed nas se ukvarjamo z varnostno analizo sistemov in poleg tega, da imamo pri prostem programju precej lažje delo, ko je treba predlagati rešitve, imamo tudi lažje delo, ko je treba neodvisno testiranje avtomatizirati.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> ampak žal ne vedno v uporabnikovo korist!

Tega tudi ni nihče trdil - so pa vse raziskave z jasno metodologijo do danes prišle do enakega zaključka: Odprta koda je kvalitetnejša, ker jo je pregledalo in popravljalo več ljudi.

Kvalitetnejša NI isto kot VARNEJŠA.

Dejmo si priznat, da greš po kodi brskat takrat, ko ti nekje 'odleti', ker ima nek očiten bug, nezdružljivost, težavo v delovanju.
Skratka večina tega splošnega pregledovanja je namenjeno odpravi funkcionalnih napak, ne pa VARNOSTNIH.

Že mogoče, da kdo spotoma naleti tudi na kakšno varnostno napako, vendar če osnovni namen pregledovanja ni varnostni pregled, se bo takšne napake v pravilu spregledalo.

Točno to pa je tudi razlog, da se določene varnostne napake odkrivajo šele po desetletju, dveh in več - ker so zadeve leta in leta delovale brezhibno in je krepko upadlo število tistih, ki so svoj nos še kaj vtikali v izvorno kodo.

jype ::

SeMiNeSanja> Kvalitetnejša NI isto kot VARNEJŠA.

Ja, je.

SeMiNeSanja> Skratka večina tega splošnega pregledovanja je namenjeno odpravi funkcionalnih napak, ne pa VARNOSTNIH.

Ne, to ni res. Če ne razumeš, kako se pregleduje pravilnost delovanja kode, potem je sicer normalno, da živiš v taki zmoti.

SeMiNeSanja> Že mogoče, da kdo spotoma naleti tudi na kakšno varnostno napako, vendar če osnovni namen pregledovanja ni varnostni pregled, se bo takšne napake v pravilu spregledalo.

Ne, tudi to ni res.

SeMiNeSanja> Točno to pa je tudi razlog, da se določene varnostne napake odkrivajo šele po desetletju, dveh in več - ker so zadeve leta in leta delovale brezhibno in je krepko upadlo število tistih, ki so svoj nos še kaj vtikali v izvorno kodo.

Razlog, da se je varnostne napake odkrivalo pozno je predvsem ta, da nihče ne poganja takega programja v okoljih z visokimi tveganji in zato nikogar pretirano ne skrbi, da varnostne ranljivosti v njem zares obstajajo.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

Tako kot SSL nihče ni poganjal v 'okoljih z visokim tveganjem'?

hojnikb ::

http://www.dailymail.co.uk/sciencetech/...
tolk o tem, da ima samo odprtokodno programje antično stare buge.
#teamred
MediaBox: AMD R5 1600 AF, 16GB DDR4, 256GB SSD, 1060 6GB, B450M-DS3H, W10

SeMiNeSanja ::

@hojnikb - sploh ne oporekam, da obstajajo pradavninski bugi v preostalem programju.

Meni zgolj najeda Jype, ki trdi, da je Odprtokodni svet 'brezmadežen' kar se tega tiče.

jype ::

SeMiNeSanja> Tako kot SSL nihče ni poganjal v 'okoljih z visokim tveganjem'?

(Open)SSL je bil mnogokrat pregledan in ranljivost, ki so jo našli, je bila veliko kompleksnejša in je z orodji za varnostno analizo ni bilo mogoče zaznati avtomatično.

SeMiNeSanja> Meni zgolj najeda Jype, ki trdi, da je Odprtokodni svet 'brezmadežen' kar se tega tiče.

Jaz tega sicer ne trdim, ampak tvoje bralno nerazumevanje ne izključuje tega, da moram bralcem teme pojasniti, pri čem vsem se temeljito motiš.

Zgodovina sprememb…

  • spremenilo: jype ()

BigWhale ::

SeMiNeSanja je izjavil:

Meni zgolj najeda Jype, ki trdi, da je Odprtokodni svet 'brezmadežen' kar se tega tiče.


Tega se tanajhujsi zagovorniki FOSS programja ne trdijo. To si si enostavno izmislil.

SeMiNeSanja ::

BigWhale je izjavil:

SeMiNeSanja je izjavil:

Meni zgolj najeda Jype, ki trdi, da je Odprtokodni svet 'brezmadežen' kar se tega tiče.


Tega se tanajhujsi zagovorniki FOSS programja ne trdijo. To si si enostavno izmislil.

Beri kaj piše..... ko mu stopiš pa na rep, pa neki javska o 'izredno kompleksni napaki'....

Se mi zdi, da je bilo tudi tisto z devico marijo 'izredno kompleksno'....

jype ::

SeMiNeSanja> Beri kaj piše

Saj on bere. Ti ne bereš, kaj jaz pišem.

SeMiNeSanja> Se mi zdi, da je bilo tudi tisto z devico marijo 'izredno kompleksno'....

Ko se boš začel ukvarjati s temi rečmi, boš veliko bolje razumel, zakaj je šlo (s stališča varnostnega preverjanja) za izredno kompleksno napako.

LightBit ::

SeMiNeSanja je izjavil:

'Critical' security bugs dating back to 1987 found in X Window

Če nimaš X odprt na vzven (privzeto ni nikjer) moraš sam pognati malware.
Serverji (vsaj pravi) nimajo X-a.

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> Beri kaj piše

Saj on bere. Ti ne bereš, kaj jaz pišem.

SeMiNeSanja> Se mi zdi, da je bilo tudi tisto z devico marijo 'izredno kompleksno'....

Ko se boš začel ukvarjati s temi rečmi, boš veliko bolje razumel, zakaj je šlo (s stališča varnostnega preverjanja) za izredno kompleksno napako.

Hočeš reči, da ti ves čas govoriš o napakah, ki jih vidi že slepec iz aviona?

Sorry - te napake mene ne skrbijo kaj dosti. Skrb zbujajo ravo tiste 'izredno kompleksne' napake, ki so morda v določenih krogih že leta znane ali bile celo sponzorirane iz določenih krogov.

O teh napakah govorim, ko ciljam na to, da lahko gledaš kolikor hočeš, pa jo za časa svojega življenja ne bova vidla ne ti ne jaz, pa še marsikdo drug ne. Če se pa že slučajno odkrijejo, pa zgolj po nekem naklučju. Kako veš, da ni takih in podobnih napak še na tone? Morda veš, koliko kontributorjev v odprto kodo prejema 'žepnino', s katero se sponzorira kakšno tako 'izredno kompleksno' napakico? Menda ne misliš, da NSA&Co nič ne prispevata za razvoj odprtokodnega programja?

Looooooka ::

jype je izjavil:

SeMiNeSanja> 'Critical' security bugs dating back to 1987 found in X Window

X ?

Čemu?

SeMiNeSanja> Najdeno po 27 letih.... toliko o 'pregledanosti odprte kode', na katero se stalno sklicuješ. Auč?

Tudi ta luknja je bila lažje najdena zato, ker je koda prosto dostopna in še lažje popravljena iz istega razloga, zaradi licence pa tudi lažje distribuirana.

SeMiNeSanja> Prav sit sem že tega, ko stalno ponavljaš, da 'lahko vsak pregleda kodo'. Super, očitno bolj malo kdo kaj 'gleda' kodo - sploh pa samo od 'gledanja'....
SeMiNeSanja> To je tko kot greš na plažo in 'gledaš' bejbe - s tem še nobeno nisi posexal. Je treba še kaj več, kot 'samo gledat'.

Retardirane primerjave, značilne za retardirane primerljalce.

TO, da je odprta koda bolj varna in da se nekaj najde, ker več ljudi išče napake je bullshit. Večino teh pizdarij najdejo po tem, ko jih nekdo začne zlorabljat. In v tem primeru prav nič hitreje kot pri zaprti kodi.
V bisvtu lahko prisloniš zraven še dejstvo, da obstaja možnost, da v kkšni dovolj veliki firmi, kodo za ogromno denarja bolj učinkovito pregleda večje število dejanskih strokovnjakov kot pa pri odprti kodi.
Tko, da ja...bi blo že počasi treba nehat neke neutemeljene pluse naprej metat.
Plusi so to, da lahko ti sam popraviš/dodaš nekaj kar rabiš in da ti zato ni treba plačati. Vse ostalo so neke mokre sanje fan boyev, ki z realnostjo nimajo nobene povezave.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

jype ::

Looooooka> TO, da je odprta koda bolj varna in da se nekaj najde, ker več ljudi išče napake je bullshit.

Ne, ni.

Looooooka> Tko, da ja...bi blo že počasi treba nehat neke neutemeljene pluse naprej metat.

http://softwareintegrity.coverity.com/r...

SeMiNeSanja> Sorry - te napake mene ne skrbijo kaj dosti. Skrb zbujajo ravo tiste 'izredno kompleksne' napake, ki so morda v določenih krogih že leta znane ali bile celo sponzorirane iz določenih krogov.

To pa res ni tema o pristanku na luni.

Zgodovina sprememb…

  • spremenilo: jype ()

LightBit ::

Looooooka je izjavil:

V bisvtu lahko prisloniš zraven še dejstvo, da obstaja možnost, da v kkšni dovolj veliki firmi, kodo za ogromno denarja bolj učinkovito pregleda večje število dejanskih strokovnjakov kot pa pri odprti kodi.

Tudi za odprto kodo lahko nameniš ogromno denarja, da jo pregledajo dejanski strokovnjaki. Samo, da to lahko naredi kdorkoli.
Sem prepričan, da Google nameni kar veliko za iskanje luken v chromium-u.

sisemen ::

LightBit je izjavil:

Looooooka je izjavil:

V bisvtu lahko prisloniš zraven še dejstvo, da obstaja možnost, da v kkšni dovolj veliki firmi, kodo za ogromno denarja bolj učinkovito pregleda večje število dejanskih strokovnjakov kot pa pri odprti kodi.

Tudi za odprto kodo lahko nameniš ogromno denarja, da jo pregledajo dejanski strokovnjaki. Samo, da to lahko naredi kdorkoli.
Sem prepričan, da Google nameni kar veliko za iskanje luken v chromium-u.


Vprasanje je samo zakaj bi sel luknjo v ki jo najdes, dejansko javiti/popraviti,... veliko vec denarja se da dobiti na crnem trgu in kontaktov niti ni tezko najti. Rekel bi, da je stevilo javljenih lukenj v bistvu samo nekaj procentov celotnega znanega arzenala.

jype ::

sisemen> Vprasanje je samo zakaj bi sel luknjo v ki jo najdes, dejansko javiti/popraviti,... veliko vec denarja se da dobiti na crnem trgu in kontaktov niti ni tezko najti. Rekel bi, da je stevilo javljenih lukenj v bistvu samo nekaj procentov celotnega znanega arzenala.

Trg z ranljivostmi je poln tistih v lastniškem programju in precej manj poln tistih v prostem programju. Le čemu? Morda je pa investiranje v luknje, ki bodo zelo verjetno hitro odkrite in zakrpane dejansko manj donosno kot investiranje v ranljivosti v lastniškem programju?

LightBit ::

sisemen je izjavil:

Vprasanje je samo zakaj bi sel luknjo v ki jo najdes, dejansko javiti/popraviti,...

Ker te (in ostale) ogroža?

sisemen je izjavil:

veliko vec denarja se da dobiti na crnem trgu in kontaktov niti ni tezko najti.

Če ti je denar tako pomemben.

sisemen je izjavil:

Rekel bi, da je stevilo javljenih lukenj v bistvu samo nekaj procentov celotnega znanega arzenala.

Medtem ko pri zaprti kodi ne?

BigWhale ::

Men so ful smesne reakcije ljudi na tole zadevo, sploh ce jih primerjas z reakcijami ob kakih drugih zadevah.

Najdl smo enga trojanca za Windows.
"Meh. Sej jih je ze milijon."

Najdl smo prvega trojanca za Linux.
"ZOMG! Linux ni secure, smo vedl! WTFPWND The end of days is near!"

Mr.B ::

BigWhale,
koliko zlobne kode pod Winsi pa laufa v user kontekstu, brez da bi se aktiviral UAC in to brez potrebe po po kakšne AV blatware programu...
Voljeno telo ogledalo volilnega telesa.

jype ::

Mr.B> koliko zlobne kode pod Winsi pa laufa v user kontekstu, brez da bi se aktiviral UAC in to brez potrebe po po kakšne AV blatware programu...

Mr.B ::

jype,
priznam da sem pogledal samo naslov.

Ampak iz tvojega linka lahko sklepam dve opcije :

Opcija 1 :
Torej hotel si povedat, da če za to uporabiš obsolit OS, da je vse možno.

Opcija 2:
Da neodkrite luknje v sistemu ne obstajajo. Pa pustimo da se je okužil linux.

Opcija 3 :
Da boš na kocu po nekaj iteracijah izjavil, da je to itak problem programskega paketa, in da to nima veze z OS-om.
Voljeno telo ogledalo volilnega telesa.

jype ::

Nič od tega.

Mr.B ::

jype,
torej po nekaj dodatnih iteracijah, bomo prišli da zaključka : Da je še sreča, ker so uporabljali nadzorni sistem na Windows operacijskem sistemu in ne na Linux-u. Hm, ker bi zagotovo opazili da tisti vgrajeni krmilnik dela to kar nebi smel. Sedaj moram samo še v Wiki pogledat, kako se reče takemu programskemu paketu, ki namensko dela škoda na način ki si ga je zamislil pisec....
Voljeno telo ogledalo volilnega telesa.

jype ::

Skratka, če hočeš, lahko brez večjega truda zaobideš vse varnostne sisteme v Windows (predavanje zgoraj govori o XP in 7) in uničiš iranske centrifuge. Sliši se kot da so lastniške rešitve resnično bolj varne pred morebitnimi napadalci.

Zgodovina sprememb…

  • spremenilo: jype ()

Invictus ::

LightBit je izjavil:

SeMiNeSanja je izjavil:

'Critical' security bugs dating back to 1987 found in X Window

Če nimaš X odprt na vzven (privzeto ni nikjer) moraš sam pognati malware.
Serverji (vsaj pravi) nimajo X-a.

Sem videl precej produkcijskih serverjev, ki so imel X gor. Tako ali tako pa ga uporabljaš samo za to da zaženeš kak specifičen program.

ssh -X ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Mr.B ::

jype,
torej na krmilnikh teče Windows, nje...In krmilnik je tisti ki dela problematiko... A msiliš če bi bil linux, da bi bilo vse drugače, akr naenkrat nebi bilo problema, ker no way da bi napadalec uporabil kakšno lukno...
Voljeno telo ogledalo volilnega telesa.

BigWhale ::

Mr.B je izjavil:

BigWhale,
koliko zlobne kode pod Winsi pa laufa v user kontekstu, brez da bi se aktiviral UAC in to brez potrebe po po kakšne AV blatware programu...


Noben trojanec ne nuca nekih posebnih, dodatnih pravic za delovanje. Vse lahko postori v user kontekstu. Ce pa rabis kaj vec kot user kontekt, potem pa vzames certifikate in kljuce od Sony-a, pa si podpises svoj exe. :)

Kenpachi ::

BigWhale je izjavil:

Men so ful smesne reakcije ljudi na tole zadevo, sploh ce jih primerjas z reakcijami ob kakih drugih zadevah.

Najdl smo enga trojanca za Windows.
"Meh. Sej jih je ze milijon."

Najdl smo prvega trojanca za Linux.
"ZOMG! Linux ni secure, smo vedl! WTFPWND The end of days is near!"


Pa ja, neki tazga kot prostitutka vs. devica. Slednja ni vec zanimiva, ker je razdevicena.
Zaraki Kenpachi.

Zgodovina sprememb…

  • spremenil: Kenpachi ()

jype ::

Mr.B> torej na krmilnikh teče Windows, nje...In krmilnik je tisti ki dela problematiko... A msiliš če bi bil linux, da bi bilo vse drugače, akr naenkrat nebi bilo problema, ker no way da bi napadalec uporabil kakšno lukno...

Ne. Mislim, da če bi bil Linux, bi sposobni administratorji veliko lažje zagotovili varnost celotnega omrežja kot z Windows.

Invictus ::

Mr.B je izjavil:

jype,
torej na krmilnikh teče Windows, nje...In krmilnik je tisti ki dela problematiko... A msiliš če bi bil linux, da bi bilo vse drugače, akr naenkrat nebi bilo problema, ker no way da bi napadalec uporabil kakšno lukno...

SCADA software ki krmili vse te krmilnike, teče na Windowsih.

Siemens je priznal cel kup varnostnih lukenj tako na SCADAh kot samih krmilnikih ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

krneki0001 ::

Jype
Problem je tukaj v besedi "sposoben". Sposoben administrator bo znal namreč na obeh sistemih zagotovit varnost. Glede lažjega zagotavljanja varnosti celotnega omrežja, pa je lahko nova debata. Bo pa predvsem dolga in težka debata, tako da mislim da je nepotrebna.

Meni se zagotavljanje varnosti na enem ali drugem sistemu ne zdi težko. Zadnja 3 leta preživim vse napade na moje serverje brez problemov (pa jih je povprečno nekje 1500 poizkusov na dan, zadnji teden pa celo večkratnik tega), na desktop sistemu pa že nekaj let nimam antivirusnega sistema, ker ga ne rabim.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster

jype ::

nebivedu> Sposoben administrator bo znal namreč na obeh sistemih zagotovit varnost.

Nope: Pri Windows je core threat že vgrajen v sistem. Ne moreš zaupati, da bo deloval v nasprotju z interesi ZDA, ki imajo do Microsofta ogromne vzvode moči, hkrati ti pa Microsoft ne garantira ničesar - celo s pogodbo.

nebivedu> Zadnja 3 leta preživim vse napade na moje serverje brez problemov

Koliko jedrskih central, ki bi jih rad Izrael čimprej uničil, pa nadzirajo ti strežniki?

aleksander10 ::

krneki0001 je izjavil:

Jype
Problem je tukaj v besedi "sposoben". Sposoben administrator bo znal namreč na obeh sistemih zagotovit varnost. Glede lažjega zagotavljanja varnosti celotnega omrežja, pa je lahko nova debata. Bo pa predvsem dolga in težka debata, tako da mislim da je nepotrebna.

Meni se zagotavljanje varnosti na enem ali drugem sistemu ne zdi težko. Zadnja 3 leta preživim vse napade na moje serverje brez problemov (pa jih je povprečno nekje 1500 poizkusov na dan, zadnji teden pa celo večkratnik tega), na desktop sistemu pa že nekaj let nimam antivirusnega sistema, ker ga ne rabim.


Dej prosim tole alo bolj na drobno razdelja, kaj je zate napad in kako ga ugotavljaš? Kakšna orodja imaš, da sklepaš, da je bil napad narejen?
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

krneki0001 ::

aleksander10 je izjavil:

krneki0001 je izjavil:

Jype
Problem je tukaj v besedi "sposoben". Sposoben administrator bo znal namreč na obeh sistemih zagotovit varnost. Glede lažjega zagotavljanja varnosti celotnega omrežja, pa je lahko nova debata. Bo pa predvsem dolga in težka debata, tako da mislim da je nepotrebna.

Meni se zagotavljanje varnosti na enem ali drugem sistemu ne zdi težko. Zadnja 3 leta preživim vse napade na moje serverje brez problemov (pa jih je povprečno nekje 1500 poizkusov na dan, zadnji teden pa celo večkratnik tega), na desktop sistemu pa že nekaj let nimam antivirusnega sistema, ker ga ne rabim.


Dej prosim tole alo bolj na drobno razdelja, kaj je zate napad in kako ga ugotavljaš? Kakšna orodja imaš, da sklepaš, da je bil napad narejen?


Honeypot.

jype je izjavil:

nebivedu> Sposoben administrator bo znal namreč na obeh sistemih zagotovit varnost.

Nope: Pri Windows je core threat že vgrajen v sistem. Ne moreš zaupati, da bo deloval v nasprotju z interesi ZDA, ki imajo do Microsofta ogromne vzvode moči, hkrati ti pa Microsoft ne garantira ničesar - celo s pogodbo.


Linux tukaj tudi ni izjema.
Build your own NSA-approved ...
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster

Zgodovina sprememb…

aleksander10 ::

Honeypot že, ampak še vedno mi nisi odgovoril na direktno vprašanje. Kaj zbiraš, kaj vse imaš postavljeno, kako delaš korelacije med eventi, kako reagiraš, ko veš da se je napad dogodil, kaj delaš ko se napad dogaja?
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

BigWhale ::

krneki0001 je izjavil:

aleksander10 je izjavil:

krneki0001 je izjavil:


Meni se zagotavljanje varnosti na enem ali drugem sistemu ne zdi težko. Zadnja 3 leta preživim vse napade na moje serverje brez problemov (pa jih je povprečno nekje 1500 poizkusov na dan, zadnji teden pa celo večkratnik tega), na desktop sistemu pa že nekaj let nimam antivirusnega sistema, ker ga ne rabim.

Dej prosim tole alo bolj na drobno razdelja, kaj je zate napad in kako ga ugotavljaš? Kakšna orodja imaš, da sklepaš, da je bil napad narejen?

Honeypot.


Joj, no... Ze kar nekaj let je definicija honeypot-a precej enostavna: 'racunalnik, ki je prikopljen v internet'. Ce se zraven predstavis se Googlu, potem pa nisi vec honeypot ampak si kr javna hisa.

Tistih '1500 poizkusov na dan' pa prezivi vsak streznik, kjer imajo vsaj priblizno prav nastavljen firewall z NATom in neka pametna gesla. It's really not a rocket science.

Random port scanov in poizkusanj raznih gesel na servisih, ki so bolj razsirjeni, s strani zilijon bot netov, pa nihce vec ne steje kot 'poizkuse vdora'.

Vsaj noben pri zdravi pameti ne.

Zgodovina sprememb…

  • spremenil: BigWhale ()

LightBit ::

krneki0001 je izjavil:

jype je izjavil:


Nope: Pri Windows je core threat že vgrajen v sistem. Ne moreš zaupati, da bo deloval v nasprotju z interesi ZDA, ki imajo do Microsofta ogromne vzvode moči, hkrati ti pa Microsoft ne garantira ničesar - celo s pogodbo.


Linux tukaj tudi ni izjema.
Build your own NSA-approved ...

Vseeno je v Linux težje vgraditi backdoor kot v Windowse, ker koda ne sme izgledati sumljivo in obstaja večja verjetnost, da kdo odkrije.
V Windowsih je backdoor lahko tak, da NSA oddaljeno dostopa, do kateregakoli sistema z nekim geslom. Pri Linuxu je to lahko v obliki ranljivosti, ki pa jo je v praksi težje uporabiti.

Mimogrede SHA in AES sta tudi NSA-approved.

SeMiNeSanja ::

Jype bluzi sto na uro - vse v zagovor njegovega preljubega Linuxa.

Ne moreš v isti koš metati varnosti operacijskega sistema, aplikacije in varnost mreže. To so tri povsem različne kategorije, ki vsaka zase zahteva določeno specializacijo, da bi se lahko zares kompetentno pogovarjal na to temo.

Ko se gre za varnost omrežja, je čisto vseeno ali imaš na njemu Windows, Linux ali pa mogoče IBM mainframe. Postavljaš svoja pravila igre. Res da ta pravila pogosto koristijo značilnosti operacijskih sistemov izza njih, vendar se gre v prvi vrsti za zagotovitev varovanja mrežnih storitev od http pa do smtp protokola - ne glede na to, ali zadaj teče IIS, Apache ali kateri drugi web server, ne glede na to, ali uporabljaš Exchange ali nek drug mail server, ne glede na to, ali teče na Windows ali na Linuxu.

Kar se X-ov tiče, Jype nima pojma. Vem za banko, kjer je uporabniška bančna aplikacija bazirana na X-ih. X uporabljajo tudi za krmiljenje marsikaterega scada sistema v elektrogospodarstvu, da o splošni administrativni rabi X-ov sploh nebi govoril - na produkcijskih sistemih! X je daleč od tega, da bi bil 'upokojen'. Ali je nameščen in skonfiguriran za XDMCP ali pa ga štartaš na roke preko ssh, telneta,... tle ne igra vloge.

Če si dejaven na področju varnosti MREŽ, si ne moreš privoščiti luksuza, da bi apriori smatral nek OS za bolj varnega kot drugega. Če bi izhajal iz tega stališča, potem si naredil napako že v sami osnovi. Izhajaš iz predpostavke, da so vse naprave, ki so priključene na mrežo ranljive, morda celo že kompromitirane. Tvoja naloga pa je, da čim bolj otežiš izkoriščanje teh morebitnih kompromitacij in skrbiš za to, da se čim prej odkrije anomalije, ki bi kazale na možno kompromitacijo.

Honeypot kot beseda sama, meni ne pomeni nič. Kot že zgoraj od nekoga omenjeno, imamo dnevno nešteto raznoraznih scan-ov, ki sami po sebi še ne predstavljajo neposredne grožnje. Grožnja postanejo šele takrat, ko tak scan napadalcu pokaže, da smo ranljivi na grožnjo za katero se je skeniralo in naš IP pristane na spisku IP-jev, po katerem se bo tudi dejansko poskusilo izvesti zlorabo tiste ranljivosti.
Dokler je honeypot samemu sebi namen, v bistvu ne prispeva k varnosti. Je zgolj vir informacij glede aktualnega 'splošnega' dogajanja. Da bi lahko prispeval k varnosti, mora biti povezan z požarno pregrado in z njo skupaj tvoriti 'varnostni sistem'. Tu stvari lahko ratajo dokaj kompleksne. Problem pa je, ker honeypot ponavadi nadzira zgolj eno marginalno IP adreso, ki pa ni naša aktivno uporabljena IP adresa. Tako bore malo pove o dejanskem 'ciljanem' dogajanju na tisti 'kritični' adresi.

Za resnejšo vsakdanjo rabo (in ne za zbiranje statistik) dosti bolje služijo takšne požarne pregrade, ki imajo dinamične block liste. Na požarni pregradi definiraš običajna pravila, potem pa vse, kar krši ta pravila, mečeš za določen čas na block listo. Skeniranje takšne požarne pregrade je bistveno težje, saj avtomatsko zablokira vse IP range scan-e, kot tudi port scan-e - bistveno bolj učinkovito, kot navaden, še tako dobro integriran honeypot.
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )

Oddelek: Novice / Varnost
7520614 (14397) Iatromantis
»

Programi z Download.com oviti v dve plasti namestitve (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
6310939 (8257) MrStein
»

"zlata" bronasta Petra (strani: 1 2 )

Oddelek: Loža
636721 (5124) JayKay
»

Dark BASIC...

Oddelek: Programiranje
13832 (597) Ellesar
»

profesionalni zvok na računalniku (ali vsaj blizu)

Oddelek: Kaj kupiti
251888 (1391) Manson

Več podobnih tem