Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые? E__>>Сейчас — юзерами. Их общей IT грамотностью.
KV>Считаешь, что это свойство сохранится при массовом переходе на линух?
Смотря как пойдет процесс. В общем случае не особо.
E__>>Проблема в том, что трояны заражают десктопный комп через юзера, а не через какие-то там дыры.
KV>Вообще-то, трояны бывают разные
Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов.
Вирусы, попадающие в комп другим путем, называются по-другому.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, IID, Вы писали:
IID>>ASLR
M>Я уже не знаю по какой причине, но реально бит запрета на исполнение в стеке у меня работает в 64-битном Linux. Впрочем не утверждаю, что в винде он не работает, скорее всего чего-то не сделал правильно.
Ты путаешь. Запрет исполнения данных это DEP. А ASLR это рандомизация при загрузке исполняемых модулей. Каждая новая загрузка системы даёт уникальное расположение модулей в памяти. И эксплоитам приходится очень не сладко.
Здравствуйте, DOOM, Вы писали:
M>> * поставить отдельную копию в виртуальную машину, DOO>С чего ради? Десктопная лицензия MS как раз таки позволяет запускать любое число копий ПО на одной железке — если ты один его используешь. DOO>Пример с виртуальными машинами есть в PURе.
M>> * и не смогу поделиться дистрибутивом с товарищем DOO>Если у тебя коробка, то можешь.
Мотороллер не мой Но тот человек, видимо эти пункты брал из OEM-лицензии. Кроме того, так сходу не найду текст, но кажется версии типа Home вообще нельзя в виртуалке гонять.
Здравствуйте, DOOM, Вы писали:
DOO>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера.
Одним из способов и является запрет.
M>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права? DOO>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами.
А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, DOOM, Вы писали:
DOO>>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера. M>Одним из способов и является запрет.
Но Address Space Layout Randomization это вполне конкретный способ, который никак не связан с запретом выполнения.
M>>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права? DOO>>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами. M>А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает.
Ну так-то ты зря — работают.
M>а там наверное и шифрование возможно прикрутить, если требуется.
Естественно.
Здравствуйте, Eugeny__, Вы писали:
KV>>Вообще-то, трояны бывают разные
E__>Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов. E__>Вирусы, попадающие в комп другим путем, называются по-другому.
Вообще-то, я говорил в этой теме о малвари — классу ПО, охватывающему весь вредоносный софт, включая и трояны. Когда ты упомянул о троянах, я решил, что ты употребляешь это название как синоним моему "малварь" и отвечал исходя из этого
IID>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
Мы вроде о декстопе говорим? Кто и как там его снифать будет?
Здравствуйте, kochetkov.vladimir, Вы писали: KV>Эпидемия первой версии конфикера была зарегистрирована 21 ноября 2008 года. В ней использовалась уязвимость в службе сети, закрытая MS еще 23 октября 2008 года. Намек понятен?
ЯИ>>(c) www.securitylab.ru
KV>При всем уважении к коллегам из Positive Labs, этот сайт — отстойник
В каждой шутке есть доля шутки. Вот жители Вилариба не собрались коллетивным разумом и не установили обновления на виндовс, а жители Виллабаджо коллективным разумом все таки смогли настроить Линукс
А вообще не хватает уведомлений о критических апдейтов в винде. У меня настройки обновления в винде и линуксе одинаковые (только уведомлять), так линукс уведомляет здоровой красной фигней в углу, а винда стандартным баблом о новых уведомлениях...
KV>В NT разделение привилегий было изначально.
Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
KV>Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку.
Я обобшаю то, что вижу своими глазами.
KV>Ответил парой сообщений выше.
Ответ не релевантен.
KV>Они не имеют отношения к обсуждаемой теме.
Отчего же?
KV>UAC, маркеры с пониженными привилегиями.
Как связаны UAC и судо?
KV>Дискреционно-ролевой доступ есть в винде изначально.
Не так и не то. В солярке по умолчанию вообще нету пользователя рут — есть роль рута, которая разрешена определенным пользователям.
V>>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч. KV>Реализовано через права в NTFS.
Суид есть в НТФС? Ты ничего не путаешь?
V>>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое? KV>Ошибки были есть и будут везде.
Это не ошибка, это такая дыра в безопасности, что это как раз и есть детсад. Или, скажешь, нормальное дело?
Здравствуйте, kochetkov.vladimir, Вы писали:
E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность, что автоматически увеличивает защиту ОС. Так что безопасность в ОС Линукс это скорее следствие, чем необходимое условие.
p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
M>Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.
До фига и больше народу так работает, но используется X over SSH.
В линуксе под рутом _обычно_ не работают, и софт под него _обычно_ пишут из расчета на то, что в линуксе под рутом обычно не работают. Это единственное качественное отличие в плане безопасности от винды. Даже от висты и вин7, где микрософт начала делать потуги в эту сторону в виде UAC, — но виндософтописатели и виндоюзеры все теже самые, и видят в UAC исключительно лишь штуку которую надо преодолеть или выключить.
И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Не уверен, т.к. наблюдаю иную картину, практически у всех моих знакомых уже семерка, контора переходит на семерку в конце года (да и то, исключительно в силу весьма консервативной политики, а так бы мы давно на ней уже сидели).
M>Между прочим, условия лицензии устраивают или её толком не читали? Действительно интересно.
Мы не используем OEM или коробочные лицензии. Наша — нас устраивает и устраивала с самого начала
M>Мне кажется, или они уже залезают не в свою епархию? Какое им дело до того, что гугл мне нашел? Вообще, данный пункт допускает максимально широкую трактовку и вызывает множетсво очевидных вопросов, поэтому не буду здесь на нем зацикливаться, а просто поставлю еще один крестик и обведу его жирным кружочком.
Вот это особо порадовало. Типа: "нихрена не понял, но будем читать этот текст в пользу моего мнения" Остальное даже лень комментировать, текст полон домыслов и необоснованных утверждений
M>Итак:
M> * на компьютер устанавливается ОС, которая мне не принадлежит;
Вообще-то, тебе не принадлежит любой купленный тобой софт по коммерческой лицензии. Потому что в этом случае, ты приобретаешь лицензию на его использование, а не имущественные права на его копию
M> * которую я не могу исследовать и модифицировать под свои нужды;
Код и бинарные модули которой не можешь <...> . Это стандартный пункт большинства коммерческих лицензий, было бы странно рассчитывать на обратное.
M> * при этом я постоянно нахожусь под подозрением в неправомерности использования этой ОС и некоторых компонентов, с риском в неподходящий момент оказаться один на один с заблокированной из-за этих подозрений системой;
Не понял, откуда сделан этот вывод.
M> * ни производитель, ни продавец системы не несут передо мной никакой ответственности за непреднамеренные (и преднамеренные) убытки, вызванные поломкой системы, кроме гарантийных обязательств, да и то в рамках стоимости системы;
Как и любом другом случае с любой другой аналогичной лицензией (в т.ч. и свободной).
M> * я не могу сделать более одной копии дистрибутива,
Если лицензия запрещает — да, не можешь.
M> * поставить отдельную копию в виртуальную машину,
Если лицензия запрещает — да, не можешь.
M> * и не смогу поделиться дистрибутивом с товарищем
См. выше про имущественные права.
M> * мне всегда придется читать лицензионные соглашения ко всем продуктам, на которых большими буквами не написано GPL
Лицензионное соглашение имеет статус договора, заключаемого тобой с держателем имущественных прав при его принятии. Было бы весьма странно его не читать и при этом брать на себя обязательства, которые в нем оговорены. И независимо от того, какие большие буквы там у нее в заголовке, вообще-то ее стоит читать, ибо возможна ситуация, что написано GPL, а содержание при этом будет "немножко" отличаться от того, что ты привык считать GPL'ем.
M>Между прочим, это уже связано с Microsoft Office, но для начальства стало крайне неприятным сюрпризом, то что внезапно оказывается на использование MS Office на сервере требуются специальные лицензии по числу пользователей. А на нем хотели использовать MS Office (вернее только Word) для автоматической обработки загружаемых документов.
Дык, велкам в мир проприетарного софта. Чего ты хотел-то? Не нравится — переходи на свободный софт. Только какое это имеет отношение к данному топику?
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Существует масса техник позволяющих решить эту проблему: распыление хипа, нопслайдинг и т.п. В общем случае, сие "разнообразие" отнюдь не затруднит написание эксплоита, работающего под разными сборками / дистрами. Кроме того, навскидку, оценишь какой процент пользователей той же ubuntu, используют "разнообразный" код, отличающийся от того, который включен в дистр и репы?
M>Но все-таки затрудняет. Есть разные версии Ubunt-ы и разное состояние системы после обновления с репозитариев. Так что, даже для неё разнообразие имеет место.
Уже упомянутый выше ASLR это затрудняет куда круче. Настолько, что разница в "состоянии системы" вообще не имеет значения.
KV>>По одной из ссылок в исходном посте это утверждение опровергается работающим сплоитом. Гарантируешь, что таких огрехов в линухе больше нет и не будет? (Хинт: эскалации привилегий в линухе обнаруживаются совсем не так редко, как этого бы хотелось его сторонникам).
M>Собственно, мы о чем спорим? Я вроде и не утверждал, что в линухе принципиально невозможен взлом или даже вирусы, просто целый ряд факторов
Я не услышал ни одного фактора для которого были бы приведены веские аргументы. Хрен с ними с вескими, готов выслушать любые.
M>и отнюдь не только меньшая распространенность на десктопах, делает вирусы более сложными в
Мы про одну и ту же планету говорим?
KV>>Я не говорил о поражении серверов вирусами. M>А какая разница, тем более с точки зрения вирусописателя, заразить сервер, наверное интереснее, из-за его ресурсов.
Современные вирусописатели крайне редко делают что-либо из-за того, что это интереснее.
KV>>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"? M>В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее.
Несколько раз в месяц только в ядре — это мало? http://secunia.com/advisories/search/?search=linux%20kernel
M>Что касается 7-ки, то я прямо слышал рекомендацию хорошо подождать, пока не утрясется, потому что сетевой стек там переписали (или еще в висте его переписали)
Это относилось к висте, а не семерке. На данный момент можно считать, что уже хорошо подождали.
M>Эскалация-то да, но обычно заражен только движок оказывается.
Если имеет место эксалация, то атакующий получает полный (рутовый) контроль над сервером.
KV>>Что такое "нормальное" переключение между пользователями? Чем именно оно "нормально"?
M>Хотя бы, чтобы не надо было вылогиниваться с текущего пользователя, чтобы установить новую программу. Да я знаю про run as, но зачастую нужен именно логин под другим пользователем.
Со времен XP в винде есть возможность создать интерактивный сеанс одного пользователя, не разлогинивая при этом текущего.
KV>>Давай не будем, говоря о безопасности, использовать понятие "сказывается"? Какие конкретно риски, связанные с информационными угрозами это снижает?
M>Риск подцепить вирус, блуждая по интернету, хотя бы.
Почему ты считаешь, что данный риск снижен? За счет чего? На машине линукс-пользователя не может быть выполнен произвольный код через существующий уязвимый плагин к браузеру? Может, еще как, с данным конкретным плагином вообще все здорово: http://archlinux.org.ru/node/238. Этот произвольный код не может, минуя ограничения SELinux повысить себе привилегии до рута? Может (см. ссылку в исходном сообщении). Под рутом невозможно насадить в систему руткит? Да легко: http://www.nobunkum.ru/issue001/linux-rootkits
Здравствуйте, frogkiller, Вы писали:
F>[...]
F>Ты чего сказать-то хотел, мил человек? Плохой вброс, негодный. Камменты не доставляют. Неужто потерял сноровку?
И вообще, не мешай мне бенефис Владимира Кочеткова по КСВ устраивать. Я только начал
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
Мнэээ... хочется начать с вопроса — а чего собственно ты завёлся-то? Ну оккупировали, так "твоих" (если уж рассчитывать в терминах противостояния) на порядки больше — вон, >90% десктопа оккупировано виндой. И что дальше? Просто тенденция не нравится, что linux фактически погрёб под собой все рынки, кроме собственно десктопа?
KV>Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы?
Да хотя бы то, что её можно понять. Изучая систему защиты винды я чуть не кончился, и это при том, что не первый год "в системе". А простому юзеру? Да он вообще ничего не поймёт, кроме того, что ему предлагают что-то разрешить — и он не разбираясь или разрешит, или запретит.
KV>Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)? Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих? Ну, это в общем-то даже признаваемый наиболее адвекватными из вас факт. Так зачем вы тогда так рьяно зовете на нее всех кого ни попадя? Если ж вся эта зазываемая братия ломанется к вам, и критическая масса будет достигнута, что будет с вашей системой, которую (в десктоп-конфигурациях) особо еще и жизнь-то не потрогала, в отличии от винды, прошедшей уже приличный эволюционный путь под постоянным воздействием враждебной окружающей среды? Или вы не верите в эволюцию?
При чём тут верить или не верить? Почитай "Слепого часовщика". Ты считаешь, что винда — такой же эволюционный урод, как любой живой организм? Тогда это никак ей не комплимент, скорее наоборот.
KV>Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.
KV>dixi.
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
ЯИ> KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
ЯИ> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
Здравствуйте, Vamp, Вы писали:
IID>>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено. V>Мы вроде о декстопе говорим? Кто и как там его снифать будет?
Кто — троян. Как — сниффать евенты чужих окон. Вот например
V>>Мы вроде о декстопе говорим? Кто и как там его снифать будет? IID>Кто — троян. Как — сниффать евенты чужих окон. Вот например
А, ты про gksudo? О небезопасности этой утилиты я уже писал недели три назад. Вводить пароль в графические окошки, которые вдруг всплывают у тебя на десктопе — это опасно и плохо.