Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>>Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые?
E__>>Сейчас — юзерами. Их общей IT грамотностью.

KV>Считаешь, что это свойство сохранится при массовом переходе на линух?

Смотря как пойдет процесс. В общем случае не особо.

E__>>Проблема в том, что трояны заражают десктопный комп через юзера, а не через какие-то там дыры.

KV>Вообще-то, трояны бывают разные

Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов.
Вирусы, попадающие в комп другим путем, называются по-другому.

Здравствуйте, Michael7, Вы писали:

M>Здравствуйте, IID, Вы писали:

IID>>ASLR

M>Я уже не знаю по какой причине, но реально бит запрета на исполнение в стеке у меня работает в 64-битном Linux. Впрочем не утверждаю, что в винде он не работает, скорее всего чего-то не сделал правильно.

Ты путаешь. Запрет исполнения данных это DEP. А ASLR это рандомизация при загрузке исполняемых модулей. Каждая новая загрузка системы даёт уникальное расположение модулей в памяти. И эксплоитам приходится очень не сладко.

Здравствуйте, DOOM, Вы писали:

M>> * поставить отдельную копию в виртуальную машину,
DOO>С чего ради? Десктопная лицензия MS как раз таки позволяет запускать любое число копий ПО на одной железке — если ты один его используешь.
DOO>Пример с виртуальными машинами есть в PURе.

M>> * и не смогу поделиться дистрибутивом с товарищем
DOO>Если у тебя коробка, то можешь.

Мотороллер не мой Но тот человек, видимо эти пункты брал из OEM-лицензии. Кроме того, так сходу не найду текст, но кажется версии типа Home вообще нельзя в виртуалке гонять.

Здравствуйте, DOOM, Вы писали:

DOO>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера.

Одним из способов и является запрет.

M>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права?
DOO>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами.

А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.

Здравствуйте, Michael7, Вы писали:

M>Здравствуйте, DOOM, Вы писали:

DOO>>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера.
M>Одним из способов и является запрет.
Но Address Space Layout Randomization это вполне конкретный способ, который никак не связан с запретом выполнения.


M>>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права?
DOO>>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами.
M>А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает.
Ну так-то ты зря — работают.


M>а там наверное и шифрование возможно прикрутить, если требуется.
Естественно.

Здравствуйте, Eugeny__, Вы писали:

KV>>Вообще-то, трояны бывают разные

E__>Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов.
E__>Вирусы, попадающие в комп другим путем, называются по-другому.

Вообще-то, я говорил в этой теме о малвари — классу ПО, охватывающему весь вредоносный софт, включая и трояны. Когда ты упомянул о троянах, я решил, что ты употребляешь это название как синоним моему "малварь" и отвечал исходя из этого

IID>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
Мы вроде о декстопе говорим? Кто и как там его снифать будет?

Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Эпидемия первой версии конфикера была зарегистрирована 21 ноября 2008 года. В ней использовалась уязвимость в службе сети, закрытая MS еще 23 октября 2008 года. Намек понятен?

ЯИ>>(c) www.securitylab.ru

KV>При всем уважении к коллегам из Positive Labs, этот сайт — отстойник

В каждой шутке есть доля шутки. Вот жители Вилариба не собрались коллетивным разумом и не установили обновления на виндовс, а жители Виллабаджо коллективным разумом все таки смогли настроить Линукс

А вообще не хватает уведомлений о критических апдейтов в винде. У меня настройки обновления в винде и линуксе одинаковые (только уведомлять), так линукс уведомляет здоровой красной фигней в углу, а винда стандартным баблом о новых уведомлениях...

KV>В NT разделение привилегий было изначально.
Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.

KV>Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку.
Я обобшаю то, что вижу своими глазами.

KV>Ответил парой сообщений выше.
Ответ не релевантен.

KV>Они не имеют отношения к обсуждаемой теме.
Отчего же?

KV>UAC, маркеры с пониженными привилегиями.
Как связаны UAC и судо?

KV>Дискреционно-ролевой доступ есть в винде изначально.
Не так и не то. В солярке по умолчанию вообще нету пользователя рут — есть роль рута, которая разрешена определенным пользователям.

V>>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч.
KV>Реализовано через права в NTFS.
Суид есть в НТФС? Ты ничего не путаешь?

V>>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое?
KV>Ошибки были есть и будут везде.
Это не ошибка, это такая дыра в безопасности, что это как раз и есть детсад. Или, скажешь, нормальное дело?

Здравствуйте, kochetkov.vladimir, Вы писали:

E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.

KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?

В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность, что автоматически увеличивает защиту ОС. Так что безопасность в ОС Линукс это скорее следствие, чем необходимое условие.


p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.

M>Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.
До фига и больше народу так работает, но используется X over SSH.

В линуксе под рутом _обычно_ не работают, и софт под него _обычно_ пишут из расчета на то, что в линуксе под рутом обычно не работают. Это единственное качественное отличие в плане безопасности от винды. Даже от висты и вин7, где микрософт начала делать потуги в эту сторону в виде UAC, — но виндософтописатели и виндоюзеры все теже самые, и видят в UAC исключительно лишь штуку которую надо преодолеть или выключить.

И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС.

Здравствуйте, Michael7, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Не уверен, т.к. наблюдаю иную картину, практически у всех моих знакомых уже семерка, контора переходит на семерку в конце года (да и то, исключительно в силу весьма консервативной политики, а так бы мы давно на ней уже сидели).

M>Между прочим, условия лицензии устраивают или её толком не читали? Действительно интересно.

Мы не используем OEM или коробочные лицензии. Наша — нас устраивает и устраивала с самого начала

M>Мне кажется, или они уже залезают не в свою епархию? Какое им дело до того, что гугл мне нашел? Вообще, данный пункт допускает максимально широкую трактовку и вызывает множетсво очевидных вопросов, поэтому не буду здесь на нем зацикливаться, а просто поставлю еще один крестик и обведу его жирным кружочком.

Вот это особо порадовало. Типа: "нихрена не понял, но будем читать этот текст в пользу моего мнения" Остальное даже лень комментировать, текст полон домыслов и необоснованных утверждений

M>Итак:

M> * на компьютер устанавливается ОС, которая мне не принадлежит;

Вообще-то, тебе не принадлежит любой купленный тобой софт по коммерческой лицензии. Потому что в этом случае, ты приобретаешь лицензию на его использование, а не имущественные права на его копию

M> * которую я не могу исследовать и модифицировать под свои нужды;

Код и бинарные модули которой не можешь <...> . Это стандартный пункт большинства коммерческих лицензий, было бы странно рассчитывать на обратное.

M> * при этом я постоянно нахожусь под подозрением в неправомерности использования этой ОС и некоторых компонентов, с риском в неподходящий момент оказаться один на один с заблокированной из-за этих подозрений системой;

Не понял, откуда сделан этот вывод.

M> * ни производитель, ни продавец системы не несут передо мной никакой ответственности за непреднамеренные (и преднамеренные) убытки, вызванные поломкой системы, кроме гарантийных обязательств, да и то в рамках стоимости системы;

Как и любом другом случае с любой другой аналогичной лицензией (в т.ч. и свободной).

M> * я не могу сделать более одной копии дистрибутива,

Если лицензия запрещает — да, не можешь.

M> * поставить отдельную копию в виртуальную машину,

Если лицензия запрещает — да, не можешь.

M> * и не смогу поделиться дистрибутивом с товарищем

См. выше про имущественные права.

M> * мне всегда придется читать лицензионные соглашения ко всем продуктам, на которых большими буквами не написано GPL

Лицензионное соглашение имеет статус договора, заключаемого тобой с держателем имущественных прав при его принятии. Было бы весьма странно его не читать и при этом брать на себя обязательства, которые в нем оговорены. И независимо от того, какие большие буквы там у нее в заголовке, вообще-то ее стоит читать, ибо возможна ситуация, что написано GPL, а содержание при этом будет "немножко" отличаться от того, что ты привык считать GPL'ем.

M>Между прочим, это уже связано с Microsoft Office, но для начальства стало крайне неприятным сюрпризом, то что внезапно оказывается на использование MS Office на сервере требуются специальные лицензии по числу пользователей. А на нем хотели использовать MS Office (вернее только Word) для автоматической обработки загружаемых документов.

Дык, велкам в мир проприетарного софта. Чего ты хотел-то? Не нравится — переходи на свободный софт. Только какое это имеет отношение к данному топику?

Здравствуйте, Michael7, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Существует масса техник позволяющих решить эту проблему: распыление хипа, нопслайдинг и т.п. В общем случае, сие "разнообразие" отнюдь не затруднит написание эксплоита, работающего под разными сборками / дистрами. Кроме того, навскидку, оценишь какой процент пользователей той же ubuntu, используют "разнообразный" код, отличающийся от того, который включен в дистр и репы?

M>Но все-таки затрудняет. Есть разные версии Ubunt-ы и разное состояние системы после обновления с репозитариев. Так что, даже для неё разнообразие имеет место.

Уже упомянутый выше ASLR это затрудняет куда круче. Настолько, что разница в "состоянии системы" вообще не имеет значения.

KV>>По одной из ссылок в исходном посте это утверждение опровергается работающим сплоитом. Гарантируешь, что таких огрехов в линухе больше нет и не будет? (Хинт: эскалации привилегий в линухе обнаруживаются совсем не так редко, как этого бы хотелось его сторонникам).

M>Собственно, мы о чем спорим? Я вроде и не утверждал, что в линухе принципиально невозможен взлом или даже вирусы, просто целый ряд факторов

Я не услышал ни одного фактора для которого были бы приведены веские аргументы. Хрен с ними с вескими, готов выслушать любые.

M>и отнюдь не только меньшая распространенность на десктопах, делает вирусы более сложными в

Мы про одну и ту же планету говорим?

KV>>Я не говорил о поражении серверов вирусами.
M>А какая разница, тем более с точки зрения вирусописателя, заразить сервер, наверное интереснее, из-за его ресурсов.

Современные вирусописатели крайне редко делают что-либо из-за того, что это интереснее.

KV>>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"?
M>В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее.

Несколько раз в месяц только в ядре — это мало? http://secunia.com/advisories/search/?search=linux%20kernel

M>Что касается 7-ки, то я прямо слышал рекомендацию хорошо подождать, пока не утрясется, потому что сетевой стек там переписали (или еще в висте его переписали)

Это относилось к висте, а не семерке. На данный момент можно считать, что уже хорошо подождали.

M>Эскалация-то да, но обычно заражен только движок оказывается.

Если имеет место эксалация, то атакующий получает полный (рутовый) контроль над сервером.

KV>>Что такое "нормальное" переключение между пользователями? Чем именно оно "нормально"?

M>Хотя бы, чтобы не надо было вылогиниваться с текущего пользователя, чтобы установить новую программу. Да я знаю про run as, но зачастую нужен именно логин под другим пользователем.

Со времен XP в винде есть возможность создать интерактивный сеанс одного пользователя, не разлогинивая при этом текущего.

KV>>Давай не будем, говоря о безопасности, использовать понятие "сказывается"? Какие конкретно риски, связанные с информационными угрозами это снижает?

M>Риск подцепить вирус, блуждая по интернету, хотя бы.

Почему ты считаешь, что данный риск снижен? За счет чего? На машине линукс-пользователя не может быть выполнен произвольный код через существующий уязвимый плагин к браузеру? Может, еще как, с данным конкретным плагином вообще все здорово: http://archlinux.org.ru/node/238. Этот произвольный код не может, минуя ограничения SELinux повысить себе привилегии до рута? Может (см. ссылку в исходном сообщении). Под рутом невозможно насадить в систему руткит? Да легко: http://www.nobunkum.ru/issue001/linux-rootkits

Так за счет чего риск снижен?

Здравствуйте, frogkiller, Вы писали:

F>[...]

F>Ты чего сказать-то хотел, мил человек? Плохой вброс, негодный. Камменты не доставляют. Неужто потерял сноровку?

И вообще, не мешай мне бенефис Владимира Кочеткова по КСВ устраивать. Я только начал

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали

Мнэээ... хочется начать с вопроса — а чего собственно ты завёлся-то? Ну оккупировали, так "твоих" (если уж рассчитывать в терминах противостояния) на порядки больше — вон, >90% десктопа оккупировано виндой. И что дальше? Просто тенденция не нравится, что linux фактически погрёб под собой все рынки, кроме собственно десктопа?

KV>Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы?

Да хотя бы то, что её можно понять. Изучая систему защиты винды я чуть не кончился, и это при том, что не первый год "в системе". А простому юзеру? Да он вообще ничего не поймёт, кроме того, что ему предлагают что-то разрешить — и он не разбираясь или разрешит, или запретит.

KV>Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)? Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих? Ну, это в общем-то даже признаваемый наиболее адвекватными из вас факт. Так зачем вы тогда так рьяно зовете на нее всех кого ни попадя? Если ж вся эта зазываемая братия ломанется к вам, и критическая масса будет достигнута, что будет с вашей системой, которую (в десктоп-конфигурациях) особо еще и жизнь-то не потрогала, в отличии от винды, прошедшей уже приличный эволюционный путь под постоянным воздействием враждебной окружающей среды? Или вы не верите в эволюцию?

При чём тут верить или не верить? Почитай "Слепого часовщика". Ты считаешь, что винда — такой же эволюционный урод, как любой живой организм? Тогда это никак ей не комплимент, скорее наоборот.

KV>Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.

KV>dixi.

Sancta simplicitas.

Здравствуйте, ЯпонИц, Вы писали:

ЯИ> E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.

ЯИ> KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?

ЯИ> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность

Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )

Здравствуйте, Vamp, Вы писали:

IID>>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
V>Мы вроде о декстопе говорим? Кто и как там его снифать будет?

Кто — троян. Как — сниффать евенты чужих окон. Вот например

Здравствуйте, IID, Вы писали:

IID>Кто — троян. Как — сниффать евенты чужих окон. Вот например

О! Надо будет дома проверить, можно ли снифать ивенты из SU окон или нет.

V>>Мы вроде о декстопе говорим? Кто и как там его снифать будет?
IID>Кто — троян. Как — сниффать евенты чужих окон. Вот например
А, ты про gksudo? О небезопасности этой утилиты я уже писал недели три назад. Вводить пароль в графические окошки, которые вдруг всплывают у тебя на десктопе — это опасно и плохо.