Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
Начнем с винды: http://habrahabr.ru/company/eset/blog/103249/ внимательно читаем (включая комменты) и осознаем, что все что дает нам 64-разрядность ядра ОС, это невозможность запуска на ней старых сплоитов, руткитов и т.п., разработанных под 32-битные архитектуры. В отличии от новых, ага. Как видно из статьи, в общем-то и обязательная подпись драйверов как бы не встает вопросом. А в свете того, что наметилась тенденция к краже ключей для подписи у уважаемых вендоров...
Есть такой продукт metasploit. По сути, является конструктором эксплоитов для различных систем, позволяя собирать их как из кубиков. Самое то для скрипт-киддисов, в жизни никогда не писавших эксплоиты по-настоящему. И что же мы видим там? А то (http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=x64&commit=Search+Modules), что кирпичики под x64 уже как бы есть. Пока совсем мало, но уже. Еще без сплоитов, но уже с нагрузками. А что еще важнее, это значит, что они уже кому-то понадобились. И что теперь будете делать, господа 64разрядники-верящие-в-безопасность-своей-системы? Долбить интел просьбами поскорее выпустить 128-разрядный процессор? Или ждать, пока гром не грянет?
Теперь линукс. Про него больше, ибо евангелястят его на эту тему куда агрессивнее. То, что под линукс не существует вирусов, троянов и прочей малвари стало едва ли не транспорантом красноглазых. Причиной тому, по их мнению являются ажно два фактора:
1. Более защищенная архитектура.
Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы? В чем принципиальное отличие архитектуры безопасности linux последних версий от винды последних версий? Хоть один из местных линуксоидов в состоянии это аргументированно объяснить? Да, это могло бы быть плюсом в случае stanalone-desktop систем, если бы не ежемесячные новости об обнаружении тех или иных уязвимостей, от которых разработчикам уязвимых модулей должно быть стыдно. Все это разумеется патчится, латается, костылится — называйте как хотите. И все это лишний раз подтверждает, что в реализации и этой чудесной архитектуры есть точно такие же ошибки, которые точно также можно использовать. Ах да, там еще исходники открытые. Тысячи пар глаз не пропустят ни одной уязвимости. Да-да, я как бы в курсе, десять тысяч уже не пропустили: http://secunia.com/advisories/search/?search=linux Сколько еще тысяч планируется не пропустить? А сколько злобных пар глаз смотрят на все это с целью не радостно поведать о находке сообществу, а атаковать сервера, крутящиеся под этой системой? А на сколько увеличится количество этих пар, когда linux завоюет десктопы?
2. Подсистемы мандатного доступа. Успевший почить AppArmor и ныне здравствующий SELinux. Вот он — непробиваемый эшелон защиты linux-систем! (хотя, почему linux? под виндой есть сторонние решения для MAC) Нет? А вот нет, как оказалось, обойти его ограничения — проще простого, точно также, через ошибки в реализации доверенных компонентов системы (http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html). Ну для того, чтобы его требовалось обойти, его еще грамотно сконфигурировать надо, если что. Господа линуксоиды, вы будете продолжать утверждать, что подобных ошибок больше нет? Тогда на чем основывается ваш постулат, что под linux вирусов нет и быть не может? А что есть в уже упомянутом метасплоите по линуксячью душу? http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=linux&commit=Search+Modules — мама дорогая, да там полный набор...
Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)? Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих? Ну, это в общем-то даже признаваемый наиболее адвекватными из вас факт. Так зачем вы тогда так рьяно зовете на нее всех кого ни попадя? Если ж вся эта зазываемая братия ломанется к вам, и критическая масса будет достигнута, что будет с вашей системой, которую (в десктоп-конфигурациях) особо еще и жизнь-то не потрогала, в отличии от винды, прошедшей уже приличный эволюционный путь под постоянным воздействием враждебной окружающей среды? Или вы не верите в эволюцию?
Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.
Здравствуйте, master_of_shadows, Вы писали:
E__>>Вобщем, тетрис, у которого все хранится в неперешиваемом ROM — наше все. И грузится быстро, к тому же .
__>А если там будет дырка? Это ж всё, капут, не пропатчишся .
Если в тетрисе будет дырка — это значит, что пользователь либо очень сильный, либо у него есть огнестрел! И да, с патчами беда будет, совсем беда.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Ну и плюс тот факт, что линукс обычно специально настраивается очень осторожно.
E__>Вот реальный пример. Терминал оплаты. Стоит очень аккуратно собранная Генту(есть только самое необходимое для работы). Полное анальное отгорожение: все порты с внешнего мира задраены.
Отключи всё ненужное в винде, задрай порты, поставь ещё этих других анальных затычек.
E__>Там крутится клиент на жабе. Он и осуществляет коммуникацию. По шифрованному каналу с рабочим ключем(достаточным, чтобы его взлом стал бесполезным занятием). Рабочий ключ обновляется каждые сутки. Мастер загружется один раз по SSL по уникальному коду, вводимому при активации(после которой, ессно, код протухает). Часть этого кода не передается, а является куском мастера. Код на терминал передается не электронным образом, т.е. его вводит доверенное лицо(считаем этот канал неперехватываемым, иначе это уже не технический взлом). Как это ломать? Перехватывать сообщения, подменять и взламывать жабовский(pure, без нативы вообще) код дешифрации? Ну это кагбе трудно: ни вам адресной арифметики, ни переполнений, виртуальная машина бдит. Ломать шифрование за сутки — анриал. Как это вообще ломать?
Вопросы:
1) В чём тут фишка собственно линукса ?
2) Зачем ломать терминал оплаты ? Вытащить физически имеющиеся деньги — это я понимаю. Украсть сессионне ключи — не вижу профита.
Тем не менее вот тебе такой сценарий: терминал вскрывается физически. А если у злоумышленника есть физический доступ к вашей машине то это уже не ваша машина. Через дырки LPE получаем рута и утаскиваем всё что хотим.
E__>Вобщем, поинт в том, что ломать то, что грамотно защищено, всегда сильно труднее, чем пользовательскую машину, особенно если пользователь не шарит в IT и не страдает параноей.
Попробую донести мысль ТС в виде метафоры-случая из жизни. У меня возле гаража стоит мой УАЗик. На кузове есть вмятины и небольшая ржа. В салоне пусто (все кресла я снял и унёс в гараж). Чтобы его завести и угнать достаточно принести табуретку в салон, открыть капот, накинуть один проводок, завести двигатель и поехать. Но ведь не угоняют, собаки серые. А вот иномарки с кучей сигналок угоняют только в лёт.
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан. KV>Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор.
Таким образом 90% проблем исправляются.
KV>Но с чего ты решил, что система должна быть защищенной из коробки?
Ушло в "избранное". Теперь при упоминании "как домохозяйке конфигурировать SELinux" я буду говорить "пусть прочтёт мануал в 2000 страниц, никто ведь не говорит, что система должна быть защищена 'из коробки'".
KV>Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
Подменяешь понятия. Накладывание апдейтов — это вполне себе "из коробки", и не изменение настроек.
Кстати, удалённых дырок в текущей установке Убунты нет. Часть локальных дырок закроет AppArmor.
KV>>>У тебя какой-то пунктик на авторан, да? V>>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. KV>Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
Конкретно фундаментальных архитектурных уязвимостей не было. Отдельные уязвимости от непредвиденного взаимодействия систем были (знаменитый "sendmail capabilities bug"), но сильно немного.
KV>Из чего следует, что переметнись армия пользователей винды туда, и эта культура (равно как и преимущество) просто растворится в толпе, в силу численного превосходства екс-виндузятников?
Если армия виндоус программеров переметнется на линукс, они не смогут так просто писать проги, придется читать мануалы и изучать готовые примеры (которых валом, благо опенсурс). А готовые примеры — написаны как полагается.
А юзера.. юзера будут юзать то, что им дают. А по дефолту во всех адекватных юниксах — шелл из под рута так просто не запустишь
Кстати по той же логике, если сейчас убрать (стереть из памяти и интернета) накопленный опыт программирования под винду, оставив один только мсдн — софт под винду станет гораздо секурнее.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, kochetkov.vladimir, Вы писали:
E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность, что автоматически увеличивает защиту ОС. Так что безопасность в ОС Линукс это скорее следствие, чем необходимое условие.
p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
В линуксе под рутом _обычно_ не работают, и софт под него _обычно_ пишут из расчета на то, что в линуксе под рутом обычно не работают. Это единственное качественное отличие в плане безопасности от винды. Даже от висты и вин7, где микрософт начала делать потуги в эту сторону в виде UAC, — но виндософтописатели и виндоюзеры все теже самые, и видят в UAC исключительно лишь штуку которую надо преодолеть или выключить.
И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Не уверен, т.к. наблюдаю иную картину, практически у всех моих знакомых уже семерка, контора переходит на семерку в конце года (да и то, исключительно в силу весьма консервативной политики, а так бы мы давно на ней уже сидели).
Между прочим, условия лицензии устраивают или её толком не читали? Действительно интересно.
Цитата:
Если условиями этой лицензии не предусмотрено иное, несколько пользователей не могут одновременно работать с данным программным обеспечением на лицензированном компьютере.
Тем самым исключается использование компьютера как сервера терминалов. Нельзя подключить дополнительные мышь, клавиатуру и монитор и организовать два рабочих места (программы типа wmprogram для реализации одновременной работы нескольких пользователей за одним компьютером оказываются вне закона). Если утрировать, нельзя даже поставить ssh и, подключаясь к нему, запускать командные скрипты, пока за компьютером кто-то работает. Очередное и далеко не последнее ограничение широких возможностей, предоставляемых современными компьютерами.
Если изготовитель или установщик предлагает несколько языковых версий, единовременно вы можете использовать только одну версию.
(OEM only) Допустим, я решил сэкономить немного денег и приобрести вместе с компом не максимальную версию, а профессиональную, без поддержки переключения языка. Но я предпочитаю интерфейс на английском языке, а жена — на русском, а компьютер один, и что же нам делать?
Единственный основной пользователь лицензированного компьютера может осуществлять доступ к сеансу (удаленного рабочего стола) с любого другого устройства с помощью удаленного рабочего стола или аналогичных технологий. Под «сеансом» понимается прямое или косвенное взаимодействие с программным обеспечением с помощью любой комбинации периферийных устройств ввода, вывода и отображения. Другие пользователи могут обращаться к сеансу с любого устройства с помощью этих технологий, если для удаленного устройства приобретена отдельная лицензия на использование этого программного обеспечения.
Раздел про то, что Microsoft имеет право регулярно инспектировать продукт на предмет законности и неизменности, а в случае нарушения исправлять его, а также «удалять, помещать в карантин или отключать все несанкционированные изменения, которые могут влиять на надлежащее использование программного обеспечения, включая обход функций активации или проверки подлинности программного обеспечения» я, пожалуй, пропущу из-за обилия букв. Смысл в том, что вы постоянно под подозрением, в интернет постоянно передаются сведения об устанавливаемых продуктах и в зависимости от погоды в Редмонде вас могут попросить активировать систему заново, на неопределенное время лишив вас возможности работы за вашим же компьютером.
Кроме того, есть такой «Защитник Windows», он делает буквально следующее:
Если включен Защитник Windows, он ищет на компьютере программы-шпионы, программы для показа рекламы и другие потенциально нежелательные программы
…
Используя это программное обеспечение, вы можете удалить или отключить программное обеспечение, не являющееся потенциально нежелательным.
Опять же, доведя данное утверждение до абсурда, можно предположить возможность автоматического удаления любой программы, неугодной Microsoft. (!!!)
Microsoft может использовать сведения о компьютере, сведения об ускорителе, данные о предложениях поиска, отчеты об ошибках и вредоносных программах для улучшения своего программного обеспечения и служб. Microsoft может также передать эти сведения третьим лицам, например поставщикам оборудования и программного обеспечения. Они могут использовать эти сведения для улучшения работы своих продуктов с программным обеспечением Microsoft.
Мне кажется, или они уже залезают не в свою епархию? Какое им дело до того, что гугл мне нашел? Вообще, данный пункт допускает максимально широкую трактовку и вызывает множетсво очевидных вопросов, поэтому не буду здесь на нем зацикливаться, а просто поставлю еще один крестик и обведу его жирным кружочком.
....
А вот чего нельзя делать:
пытаться обойти технические ограничения в программном обеспечении;
Логично, иначе не будет повода продавать несколько разных версий с искусственно созданными ограничениями.
...
использовать компоненты программного обеспечения для работы с приложениями, не
предназначенными для работы с этим программным обеспечением
Нельзя даже и думать о том, чтобы запустить бинарники linux под управлением данного ПО. Хорошо, что код большинства «приложений, не предназначенных для работы с этим программным обеспечением», открыт и при большом желании их можно просто портировать.
...
В отдельный раздел вынесен следующий абзац:
Программное обеспечение включает один или несколько компонентов .NET Framework (далее — «компоненты .NET»). Вы можете провести внутреннее измерение производительности этих компонентов. Вы можете публиковать результаты любого тестирования производительности этих компонентов, если при этом выполняются условия, указанные на веб-сайте go.microsoft.com/fwlink/?LinkID=66406. Независимо от других ваших соглашений с Microsoft, в случае раскрытия вами результатов такого тестирования производительности Microsoft имеет право раскрыть результаты проведенного ею тестирования производительности ваших продуктов, конкурирующих с Компонентами .NET, но при этом также должны соблюдаться
условия, указанные на веб-сайте go.microsoft.com/fwlink/?LinkID=66406.
По адресу go.microsoft.com/fwlink/?LinkID=66406 действительно находятся несколько правил, суть которых сводится к предоставлению полного описания программных и аппаратных компонентов, используемых в тестировании производительности, а также методики тестирования и, внимание, исходного кода тестовых программ.
Также можно предположить, что данное правило не относится к тестированию системы вообще, поэтому, видимо, можно проводить любые тесты на любых условиях.
...
Это соглашение распространяется на использование более ранних версий.
Интересно, если я поставлю XP Professional или XP Tablet PC вместо семерки, смогу ли я увеличить количество «устройств, имеющих доступ к программному обеспецению в целях использования файловых служб, служб печати» и т.д. до заявленных 20?
ОГРАНИЧЕНИЕ И ИСКЛЮЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА УБЫТКИ И УЩЕРБ. Кроме денежного возмещения, которое может предоставить изготовитель или установщик, вы не можете взыскать никакие другие убытки, в том числе косвенные, специальные, опосредованные или случайные убытки, а также убытки в связи с упущенной выгодой.
Стандартная фраза, присутствующая почти во всех лицензионных соглашениях, на любое ПО: открытое или коммерческое. Декларирует, что каждый сам кузнец своего счастья. Но интересны пояснения к этому пункту:
Это ограничение действует даже в случае, если:
* исправление, замена программного обеспечения или денежное возмещение не компенсируют все убытки и ущерб;
* Microsoft было или должно было быть известно о возможности таких убытков и ущерба.
Законодательство некоторых штатов не допускает исключения или ограничения ответственности за случайные или косвенные убытки и ущерб. В этом случае вышеуказанные ограничения и исключения могут к вам не относиться. Они также могут не относиться к вам, если законодательство вашей страны не допускает исключения или ограничения ответственности за случайные, косвенные или другие убытки и ущерб.
Итак:
* на компьютер устанавливается ОС, которая мне не принадлежит;
* которую я не могу исследовать и модифицировать под свои нужды;
* при этом я постоянно нахожусь под подозрением в неправомерности использования этой ОС и некоторых компонентов, с риском в неподходящий момент оказаться один на один с заблокированной из-за этих подозрений системой;
* ни производитель, ни продавец системы не несут передо мной никакой ответственности за непреднамеренные (и преднамеренные) убытки, вызванные поломкой системы, кроме гарантийных обязательств, да и то в рамках стоимости системы;
* я не могу сделать более одной копии дистрибутива,
* поставить отдельную копию в виртуальную машину,
* и не смогу поделиться дистрибутивом с товарищем
* мне всегда придется читать лицензионные соглашения ко всем продуктам, на которых большими буквами не написано GPL
Между прочим, это уже связано с Microsoft Office, но для начальства стало крайне неприятным сюрпризом, то что внезапно оказывается на использование MS Office на сервере требуются специальные лицензии по числу пользователей. А на нем хотели использовать MS Office (вернее только Word) для автоматической обработки загружаемых документов.
Здравствуйте, Vamp, Вы писали:
IID>>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено. V>Мы вроде о декстопе говорим? Кто и как там его снифать будет?
Кто — троян. Как — сниффать евенты чужих окон. Вот например
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, SleepyDrago, Вы писали:
SD>> www.semiaccurate.защитаотнажатия.com/2010/09/01/amd-outs-bulldozer-based-orochi-die/ SD>>и пробило и фокс со всеми плагинами и 7ку x64 с UAC и Nod32 даже не пискнул. И даже без перезагрузки.
KV>Что это доказывает?
вам может и ничего. Мне вот придется фокс на работе запускать через противогаз линукса. Не потому что он безопаснее теоретически, а потому что он реже является целью ненаправленной атаки.
и кстати после загрузки с лайвсиди скан так и не нашел драйвер который вешался на сетку и теперь мне придется переставлять все на чистый винт. Так что если есть полезные вещи про безопасность — пишите их, а не эти сравнения теорий про теплое и мягкое.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ну так цитировал бы и дальше по тексту:
На первый взгляд половина добра, что там выдаётся, не имеет отношения к Линуксу.
KV>
KV>A remote code execution module is also in development. This module depends on the Lorcon2 library and only works on the Linux platform with a supported wireless card.
О, в разработке . А сколько ещё разработают сплоитов, аж дух захватывает .
KV>Тоньше надо, тоньше
Вот про ВМВаре:
An improper setting of the exception code on page faults may allow
for local privilege escalation on the guest operating system. This
vulnerability does not affect the host system.
Issue date: 2009-10-27
Updated on: 2009-10-27 (initial release of advisory)
Мощный сплоит... А главное свежий.
Идём дальше.
4. PXE exploit server
Это, я так понял, технический модуль.
5. Samba trans2open Overflow (*BSD x86)
This exploits the buffer overflow found in Samba versions 2.2.0 to 2.2.8. This particular module is capable of exploiting the flaw on x86 Linux systems that do not have the noexec stack option set.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
Вобщем, тетрис, у которого все хранится в неперешиваемом ROM — наше все. И грузится быстро, к тому же .
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Eugeny__, Вы писали:
KV>>>Просто в винде уязвимости ищут более активно и с большей мотивацией. Вот как-то так. E__>>Ну и плюс тот факт, что линукс обычно специально настраивается очень осторожно. E__>>Вот реальный пример. Терминал оплаты. Стоит очень аккуратно собранная Генту(есть только самое необходимое для работы).
KV>Странно, что этот довод до сих пор никто не вспомнил. Точнее не совсем этот, а тот факт, что в линуксе можно выпилить все ненужное собрав систему с минимальной "площадью плоскости атаки". Правда этот аргумент слабоприменим к домохозяйкам в целом (ибо требуется квалификация) и к десктопам в частности (т.к. там особо нечего выпиливать).
Жители Вилариба выбрали Висту и пошли спать. А жители Вилабаджо всю ночь компилировали ядро Линукс. На утро каждый житель Виларибы почувствовал на себе действие червя "конфицкер" и обратился к венерологу, а жители Вилабаджо веселились и качали торренты.
Здравствуйте, ononim, Вы писали:
O>>>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС. KV>>Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества? O>по сути да, только слова 'линукс-сообщество' я бы убрал
Из чего следует, что переметнись армия пользователей винды туда, и эта культура (равно как и преимущество) просто растворится в толпе, в силу численного превосходства екс-виндузятников?
Здравствуйте, Vamp, Вы писали:
V>>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>>У тебя какой-то пунктик на авторан, да? V>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
В смысле — оно уже в mainline.
KV>и ныне здравствующий SELinux. Вот он — непробиваемый эшелон защиты linux-систем! (хотя, почему linux? под виндой есть сторонние решения для MAC) Нет? А вот нет, как оказалось, обойти его ограничения — проще простого, точно также, через ошибки в реализации доверенных компонентов системы (http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html). Ну для того, чтобы его требовалось обойти, его еще грамотно сконфигурировать надо, если что. Господа линуксоиды, вы будете продолжать утверждать, что подобных ошибок больше нет? Тогда на чем основывается ваш постулат, что под linux вирусов нет и быть не может? :
Анекдот:
- А под Линуксом вирусы есть?
— Нет.
— А вот и нет, я только что один скомпилировал.
— Ух ты! Дай посмотреть!
В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, который сделан не для анального изнасилования пользователей DRM'ом.
KV>xz: А что есть в уже упомянутом метасплоите по линуксячью душу? http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=linux&commit=Search+Modules — мама дорогая, да там полный набор...
И что дальше?
KV>Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)?
Зачем домохозяйке конфигурировать SELinux?
KV>Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих? Ну, это в общем-то даже признаваемый наиболее адвекватными из вас факт. Так зачем вы тогда так рьяно зовете на нее всех кого ни попадя? Если ж вся эта зазываемая братия ломанется к вам, и критическая масса будет достигнута, что будет с вашей системой, которую (в десктоп-конфигурациях) особо еще и жизнь-то не потрогала, в отличии от винды, прошедшей уже приличный эволюционный путь под постоянным воздействием враждебной окружающей среды? Или вы не верите в эволюцию?
Мимо.
Здравствуйте, master_of_shadows, Вы писали:
__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Дык "тщательнее" (с) же "нужно, тщательнее" (с). Глядишь и процентное соотношение изменится.
__>Бремя доказательства лежит на тебе .
Оно на мне не лежит, я бы заметил, уверяю тебя.
__>Ты можеш сам просмотреть весь список. Нумбер 6 это Анрил Турнамент Сервер. Прям вот в каждом Линух боксе стоит, да .
Т.е. на уязвимости прикладного ПО мы внимания не обращаем?
KV>>Ну да, в разработке. Под винду там пока светит только DoS, а под линуксом уже есть полноценное выполнение произвольного кода.
__>Помнится в первом сообщении ты писал: __>
__>"переходи на линукс и не парься, там нет никаких вирусов!"
__>В настоящем времени. В сплоите в будущем.
Я хз что такое "сплоит из будущего"... "Слышу сплоит из прекрасного далека..."? Были в прошлом, есть в настоящем, будут и будущем.
KV>>Что смущает? Что только гостевая система затрагивается? Дык если стоит сервак с кучей крутящихся на нем виртуалок-аппсерверов, что на нем еще атаковать-то? В самый раз такой эксплоит. А за свежесть я как бы не расписывался, важно, что почти год назад, его можно было использовать для проникновения в систему. Или хочешь сказать, что на время жизни именно этой уязвимости все линуксоиды попритихли со своими заявлениями о непробиваемости их системы?
__>1. Это не сплоит Линукса, а сплоит ВмВаре под все платформы (перейди по ссылки и посмотри).
См. вопрос про прикладной софт.
__>2. По духу твоего первого сообщения я понял, что ты наезжаешь на тех, кто перетягивает обычных юзеров на Линух — мол смотрите как безопасно. Так вот у обычных юзеров не стоит ВмВаре сервер с виртуалками.
Правильно понял, я на них и наезжал. Это ты к вмваре прицепился
__>3. Про время жизни. Найди плиз его для данной дыры. Т.е. когда нашли дыру, когда появился сплоит, когда закрыли дыру. Мне не хочется искать — ведь это твоя задача .
Т.е. у меня время на это есть, да?
KV>>Я так понимаю, остальное сказанное мной возражений не вызвало?
__>Вызвало . В конце про миф. Не охота спорить просто.
Ничего себе "неохота". Да это самое главное вообще-то, остальной текст так — для разогрева был
__>Лучше спрошу: читал ли ты/смотрел ли на реализацию безопасноти в Андроиде. И если да, какие впечатления?
Нет еще не смотрел, к сожалению, но в планах. Мои коллеги (в той же предметной области) отзывались о нем исключительно хорошо.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Оно на мне не лежит, я бы заметил, уверяю тебя.
Ты слишком серьёзен .
__>>Ты можеш сам просмотреть весь список. Нумбер 6 это Анрил Турнамент Сервер. Прям вот в каждом Линух боксе стоит, да .
KV>Т.е. на уязвимости прикладного ПО мы внимания не обращаем?
Ты говорил об Линух, не об "какие в ВмВаре/Анриле криворукие программеры".
KV>Я хз что такое "сплоит из будущего"... "Слышу сплоит из прекрасного далека..."? Были в прошлом, есть в настоящем, будут и будущем.
Ну ты же его приводил в доказательство. Только его сейчас не существует. С его помощью нельзя сломать Линух.
KV>См. вопрос про прикладной софт.
См. мой ответ .
KV>Правильно понял, я на них и наезжал. Это ты к вмваре прицепился
Э нет, это ты доказывал дырявость Линуха для домохозяйки дырой в сервере ВмВаре которая к тому же ещё и гвест онли . И пофикшенна с год как.
KV>Т.е. у меня время на это есть, да?
Потому что ты доказываешь. Я не доказываю. Меня взяло любопытство, я кликнул по линку. А там смешно . Я поделился в этом топике.
KV>Ничего себе "неохота". Да это самое главное вообще-то, остальной текст так — для разогрева был
Вкратце мои мысли:
1. Система безопасности ОС может быть классной изначально. Типа как у Андроида (на мой дилетантский взгляд).
2. На дырявость (читай наличие сплоитов/вирусов) влияет не только архитектура ОС. Пример ВинМо, которая открыта всем ветрам, но под неё так и не написали ни одного вируса. С учётом что она распространённая и юзалась на смартфонах (инет).
3. Распространнёность ОС/платформы/софтины влияет на кол-во находимых в ней дыр. Пример Эпл ставшая номер1 в Секунии.
4. Безопасность компа может быть отличной и с кучей дыр в нём. Пример: я сам , ВинХП СП2, 1 вирус за 5-ть лет (или даже больше).
KV>Нет еще не смотрел, к сожалению, но в планах. Мои коллеги (в той же предметной области) отзывались о нем исключительно хорошо.
KV>Теперь линукс.
Unix защищен лучше за счет:
1. Разделения привелигий. Система исторически была спроектирована с разделением, и все умеют правильно этим пользоваться. Под виндой ДО СИХ ПОР все сидят под админом.
2. Зоопарка архитектур. В соседних ветках жалуются, что под разными дистрами линукса не идут некоторые приложения. А ты хочешь эксплойты! Не говоря уже о том, что кроме линукса есть солярка, фрибсд, и проч.
3. В дополнение к 1, для поддержки разделяемых полономочий в никсах есть много всяких решений. Например судо, ролевая безопасность в солярке, суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч.
4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Хинт: корректность реализации ты как доказывать будешь?
Ну понятно, что можно. Однако получится ситуация, когда трудозатраты на оценку выше, чем прибыль от автоматизации.
Здравствуйте, kochetkov.vladimir, Вы писали:
M>>и такие вещи как руткиты и взломы линукс-систем очень даже бывают. Но вот с вирусами, в смысле с автоматическим заражением, как-то резко хуже.
KV>За счет чего?
За счёт большого разнообразия, хотя бы. Причём даже в рамках одного и того же дистрибутива. Например, чтобы после срыва стека коду получить управление, надо всё точно рассчитать, а тут банально если скомпилировать немного другой версией компилятора или использовать чуть другие версии библиотек, уже внедрение запросто может оказаться неработоспособным. В тоже время, как я уже говорил, работать с рутовыми правами как-то не принято, соответственно даже в случае успешного запуска на исполнение после проникновения возможностей что-то сделать сильно меньше.
KV>>> Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих?
M>>А ничего, что под Linux есть куча серверов, довольно лакомых для всяких целей, только что-то не очень их спешат поражать.
Про поражение вирусами (червями) виндовых серверов я слышал, о поражении юниксовых систем со времен Морриса что-то нет. Хотя был громкий случай, не так давно, в прошлом или позапрошлом году, когда вирус позаражал некоторые роутеры одной фирмы, ну так кто им доктор, если у них у всех был дефолтный рутовый пароль? Да ещё торчало это, доступное с любого адреса.
Остальное, результат проблем с конкретными приложениями, например, движка phpBB, при том, некоторые дыры даже были кроссплатформенными. Опять же причем тут линукс, впрочем как и винда.
M>>А что касается массы, под виндой уж очень многие работают с правами админа, потому что в противном случае, в отличие от линукса, слишком много возни нужно.
KV>Это миф времен XP
В висте UAC тоже очень любят отключать, в 7-ке с этим несколько получше, но все равно достает. Собственно, мне так и не понятно, что кроме жабы мешает в винде реализовать на десктопе нормальное переключение между разными пользователями.
M>>Признаюсь, что и я прекрасно понимая, что это нежелательно, работаю в винде обычно с админскими правами. Правда и вирусов у меня, несмотря на это почему-то нет или я думаю, что нет.
KV>А какая версия винды?
На работе в XP.
KV>"Доказанная безопасность" — это баззворд, мы же это еще в "Философии" недавно выяснили.
Ну ладно Я же оговорился, что это слишком трудно реализуемо, хотя все-таки есть у меня подозрение, что просто не пытались правильно, а может квалификации не хватает. Потому что для такой системы надо не только софт, но и железо разрабатывать специально заточенное на уровне принципов работы. Например, чтобы машинный язык позволял максимально просто доказывать софт на нем. Такое вообще в мире мало кто умеет делать.
Возвращаясь к линуксу, замечу, что может быть, действительно каких-то особых отличий в архитектуре безопасности и нет, но есть целый ряд моментов, которые реализованы в этом смысле лучше и в совокупности это сказывается. Плюс в целом лучшая культура программирования, потому что на PC, сначала в MS-DOS, потом в win3x — winMe привыкли писать, де-факто как Бог на душу положит, особо не беспокоясь о правилах приличия. Для NT уже стали лучше писать, но наследие бардака до сих пор сказывается. Отсюда и программы, которые пишут в Program Files и другие самые неожиданные места и засраный реестр и многое другое. Кстати, о реестре, то что Microsoft вытворила для Win64 в этом плане тоже образец для неподражания.
Здравствуйте, FR, Вы писали:
FR>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.
FR>Вот мне кажется что Win98 на сегодняшний день самая защищенная система
Боюсь, она не очень работоспособна на сегодняший день. А следовательно, не будет выполняться условие доступности информации, следовательно эта система не может быть безопасной
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Просто в винде уязвимости ищут более активно и с большей мотивацией. Вот как-то так. E__>>Ну и плюс тот факт, что линукс обычно специально настраивается очень осторожно. E__>>Вот реальный пример. Терминал оплаты. Стоит очень аккуратно собранная Генту(есть только самое необходимое для работы).
KV>Странно, что этот довод до сих пор никто не вспомнил. Точнее не совсем этот, а тот факт, что в линуксе можно выпилить все ненужное собрав систему с минимальной "площадью плоскости атаки". Правда этот аргумент слабоприменим к домохозяйкам в целом (ибо требуется квалификация) и к десктопам в частности (т.к. там особо нечего выпиливать).
Зато на серверах, в embedded, и пр. применимо аж вовсю(а часто и совершенно необходимо, так как не везде ресурсов завались).
E__>>Как это вообще ломать?
KV>Искать ошибки в реализации, либо прибегать к "нетехническим" средствам, если это дешевле
Нетехнически ломают толко вперед. Обычным ломом в плохоохраняемых местах. Но этот аспект безопастности мы здесь не обсуждаем.
E__>>Вобщем, поинт в том, что ломать то, что грамотно защищено, всегда сильно труднее, чем пользовательскую машину, особенно если пользователь не шарит в IT и не страдает параноей.
KV>Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые?
Сейчас — юзерами. Их общей IT грамотностью.
Проблема в том, что трояны заражают десктопный комп через юзера, а не через какие-то там дыры. "Хотите посмотреть сиськи Анжелины Джоли в полный размер? (прилагается уменьшенная превьюха) Введите пожалуйста пароль:". И все, дальнейший код выполняется под админом в любой системе. Можно посадить юзера в песочницу, огородить трехметровыми стенами, и закопать пароль рута где-то далеко, но это может быть реализовано только в организации со штатным админом(кроме того, такой путь юзерам не нравится). А на личной машине такое не прокатит. Каждый раз вызывать приходящего админа, чтобы поставить новую игрушку, никто не станет. Потому пароль рута будет вводиться по поводу и без, спинным мозгом, дабы побыстрее убрать навязчивое окошко. Не думаю, что существует технический путь решения это проблемы.
Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>При всем уважении к коллегам из Positive Labs, этот сайт — отстойник
Если че, то коллеги работают в Positive Technologies
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые? E__>>Сейчас — юзерами. Их общей IT грамотностью.
KV>Считаешь, что это свойство сохранится при массовом переходе на линух?
Смотря как пойдет процесс. В общем случае не особо.
E__>>Проблема в том, что трояны заражают десктопный комп через юзера, а не через какие-то там дыры.
KV>Вообще-то, трояны бывают разные
Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов.
Вирусы, попадающие в комп другим путем, называются по-другому.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Существует масса техник позволяющих решить эту проблему: распыление хипа, нопслайдинг и т.п. В общем случае, сие "разнообразие" отнюдь не затруднит написание эксплоита, работающего под разными сборками / дистрами. Кроме того, навскидку, оценишь какой процент пользователей той же ubuntu, используют "разнообразный" код, отличающийся от того, который включен в дистр и репы?
M>Но все-таки затрудняет. Есть разные версии Ubunt-ы и разное состояние системы после обновления с репозитариев. Так что, даже для неё разнообразие имеет место.
Уже упомянутый выше ASLR это затрудняет куда круче. Настолько, что разница в "состоянии системы" вообще не имеет значения.
KV>>По одной из ссылок в исходном посте это утверждение опровергается работающим сплоитом. Гарантируешь, что таких огрехов в линухе больше нет и не будет? (Хинт: эскалации привилегий в линухе обнаруживаются совсем не так редко, как этого бы хотелось его сторонникам).
M>Собственно, мы о чем спорим? Я вроде и не утверждал, что в линухе принципиально невозможен взлом или даже вирусы, просто целый ряд факторов
Я не услышал ни одного фактора для которого были бы приведены веские аргументы. Хрен с ними с вескими, готов выслушать любые.
M>и отнюдь не только меньшая распространенность на десктопах, делает вирусы более сложными в
Мы про одну и ту же планету говорим?
KV>>Я не говорил о поражении серверов вирусами. M>А какая разница, тем более с точки зрения вирусописателя, заразить сервер, наверное интереснее, из-за его ресурсов.
Современные вирусописатели крайне редко делают что-либо из-за того, что это интереснее.
KV>>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"? M>В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее.
Несколько раз в месяц только в ядре — это мало? http://secunia.com/advisories/search/?search=linux%20kernel
M>Что касается 7-ки, то я прямо слышал рекомендацию хорошо подождать, пока не утрясется, потому что сетевой стек там переписали (или еще в висте его переписали)
Это относилось к висте, а не семерке. На данный момент можно считать, что уже хорошо подождали.
M>Эскалация-то да, но обычно заражен только движок оказывается.
Если имеет место эксалация, то атакующий получает полный (рутовый) контроль над сервером.
KV>>Что такое "нормальное" переключение между пользователями? Чем именно оно "нормально"?
M>Хотя бы, чтобы не надо было вылогиниваться с текущего пользователя, чтобы установить новую программу. Да я знаю про run as, но зачастую нужен именно логин под другим пользователем.
Со времен XP в винде есть возможность создать интерактивный сеанс одного пользователя, не разлогинивая при этом текущего.
KV>>Давай не будем, говоря о безопасности, использовать понятие "сказывается"? Какие конкретно риски, связанные с информационными угрозами это снижает?
M>Риск подцепить вирус, блуждая по интернету, хотя бы.
Почему ты считаешь, что данный риск снижен? За счет чего? На машине линукс-пользователя не может быть выполнен произвольный код через существующий уязвимый плагин к браузеру? Может, еще как, с данным конкретным плагином вообще все здорово: http://archlinux.org.ru/node/238. Этот произвольный код не может, минуя ограничения SELinux повысить себе привилегии до рута? Может (см. ссылку в исходном сообщении). Под рутом невозможно насадить в систему руткит? Да легко: http://www.nobunkum.ru/issue001/linux-rootkits
ЯИ>p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
И охота же некоторым маркетинговые бредни повторять.
А авторан это следствие распространенности или следствие тупости микрософта?
Вопрос не праздный — школа в которой работает моя жена КАЖДЫЙ ГОД имеет эпидемию rawmon.exe
с начала учебного года и до его конца. В этом году будет переход на Линукс.
Эпидемия повторится? Делаем ставки.
Здравствуйте, Vamp, Вы писали:
KV>>Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го. V>То есть семерка вышла 5-6 лет назад? (Ты же про семерку свои хвалебные песни поешь)? Наверное, я все-же твой бред.
Называй себя как хочешь — твое право. Но зачем ты пытаешься увести разговор в сторону? Ты заявил, что:
V>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка?
KV>>Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин). V>Бедолага.
Зато с более широким и статистически значимым углом обзора.
V>>>Только судо это делает лучше. Объяснить почему? KV>>Будь так добр. V>Потому, что судо — это явное желание пользователя. А юак — это окошко с вопросом. Если завтра найдут способ имитировать окошко юак — пользователь будет радостно жамкать "ДА!!!", разрешая мальвари делать свои вредные дела — потому, что его уже задолбали этим вопросом.
Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак.
V>>>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, KV>>Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение? V>Нет, это решение презентационного уровня. Оно еще выше. Я думаю, его лично Гейтс утверждал.
Да, ты прав насчет бреда. Только он не мой, он самобытный, судя по всему.
KV>>О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают. V>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему).
Ты вообще ничего конкретного про именно те сплоиты не написал, всё общими словами...
В первом своём посту ты привёл как пример "сплоиты" под Линух. Я залез ради интереса, и что же я там увидел? Цырк на дроце. Либо не написанные сплоиты для Линух черех железяку, при этом под Вин они уже есть и рабочие. Либо сплоиты от 2003 года. Либо для 3rd party софта: Анрил сервер, либо для ВмВаре. При том что для ВмВаре сплоит ну никак не может быть закрыт ОС. Ибо дыра в эмуляторе, позволяющая в нём делать всё что угодно. Не затрагивая хост систему. Это равносильно дыре в калькуляторе позволяющей делать 2х2=5.
Дальше, извини, я копаться не стал. Всё таки это твой аргумент, а не мой. Видно только одно, что
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ты в первом же предложении написал мне там, что я слишком серьезен. Соответственно, я отнесся к твоему остальному сообщению с юмором и дальше не читал
Тогда откуда такой вывод:
ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему
?
KV>Потом я тебе привел массу других. Чем не устраивают они?
Ты вообще-то привёл ещё один линк. В котором куча других линков, в которых надо усердно копаться. Что бы понять, устраивает или нет. Да и не важно это.
Я писал то строго про приведённый тобой линк. Глядя на него никак нельзя сделать вывод, что сделал ты:
мама дорогая, да там полный набор...
Если б ты написал, что да, по тому линку лажа, но вот у меня есть другой, то разговор бы и закончился .
Здравствуйте, dr.Chaos, Вы писали:
C> Ну другой пример: диски которые не прописаны в fstab монтируются через D-Bus, так вот они монтируются не от имени пользователя, который инициировал это мероприятие, так вот dolphin при копировании на ntfs-ный диск ругается, что не может изменить права файла, но при этом копирует.
Не-не, ты снова приводишь проблему конкретного софта. Ну вот я сейчас подключил внешник с ntfs к Ubuntu 10.04, скопировал на него кучу файлов — наутилус и не пикнул
C> В целом, я с тобой согласен, просто больше мелочей которые придётся допиливать самому, напильником по любому придётся лучше владеть .
Я по своему опыту (а я с Линуксом пока на уровне того хомячка) не могу сказать, что для обычной работы в Линуксе требуются какие-либо допиливания. Кстати, я только на Линуксе научился пользоваться графическим файл-менеджером Вот виндовым Explorer'ом пользоваться до сих пор не могу (только Far), а убунтовым Наутилусом запросто, благо двухпанельность поддерживается.
1. This module exploits a buffer overflow in the NetGear MA521 wireless device driver under Windows XP...
2. This module exploits a buffer overflow in the NetGear WG311v1 wireless device driver under Windows XP and 2000...
3. This modules exploits the VMware Server Directory traversal vulnerability in VMware Server 1.x before 1.0.10 build 203137 and 2.x before 2.0.2 build 203138...
Чота как-то не впечатляет... Тщательнее надо, тщательнее .
Здравствуйте, master_of_shadows, Вы писали:
__>Чота как-то не впечатляет... Тщательнее надо, тщательнее .
Ну так цитировал бы и дальше по тексту:
A remote code execution module is also in development. This module depends on the Lorcon2 library and only works on the Linux platform with a supported wireless card.
Здравствуйте, master_of_shadows, Вы писали:
__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Ну так цитировал бы и дальше по тексту:
__>На первый взгляд половина добра, что там выдаётся, не имеет отношения к Линуксу.
Дык "тщательнее" (с) же "нужно, тщательнее" (с). Глядишь и процентное соотношение изменится.
__>О, в разработке . А сколько ещё разработают сплоитов, аж дух захватывает .
Ну да, в разработке. Под винду там пока светит только DoS, а под линуксом уже есть полноценное выполнение произвольного кода.
__>
__>An improper setting of the exception code on page faults may allow
__> for local privilege escalation on the guest operating system. This
__> vulnerability does not affect the host system.
__>Issue date: 2009-10-27
__>Updated on: 2009-10-27 (initial release of advisory)
__>Мощный сплоит... А главное свежий.
Что смущает? Что только гостевая система затрагивается? Дык если стоит сервак с кучей крутящихся на нем виртуалок-аппсерверов, что на нем еще атаковать-то? В самый раз такой эксплоит. А за свежесть я как бы не расписывался, важно, что почти год назад, его можно было использовать для проникновения в систему. Или хочешь сказать, что на время жизни именно этой уязвимости все линуксоиды попритихли со своими заявлениями о непробиваемости их системы?
__>Всё, дальше я не осилил. Слёзы глаза застилают...
Я так понимаю, остальное сказанное мной возражений не вызвало?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Дык "тщательнее" (с) же "нужно, тщательнее" (с). Глядишь и процентное соотношение изменится.
Бремя доказательства лежит на тебе .
Ты можеш сам просмотреть весь список. Нумбер 6 это Анрил Турнамент Сервер. Прям вот в каждом Линух боксе стоит, да .
KV>Ну да, в разработке. Под винду там пока светит только DoS, а под линуксом уже есть полноценное выполнение произвольного кода.
Помнится в первом сообщении ты писал:
"переходи на линукс и не парься, там нет никаких вирусов!"
В настоящем времени. В сплоите в будущем.
KV>Что смущает? Что только гостевая система затрагивается? Дык если стоит сервак с кучей крутящихся на нем виртуалок-аппсерверов, что на нем еще атаковать-то? В самый раз такой эксплоит. А за свежесть я как бы не расписывался, важно, что почти год назад, его можно было использовать для проникновения в систему. Или хочешь сказать, что на время жизни именно этой уязвимости все линуксоиды попритихли со своими заявлениями о непробиваемости их системы?
1. Это не сплоит Линукса, а сплоит ВмВаре под все платформы (перейди по ссылки и посмотри).
2. По духу твоего первого сообщения я понял, что ты наезжаешь на тех, кто перетягивает обычных юзеров на Линух — мол смотрите как безопасно. Так вот у обычных юзеров не стоит ВмВаре сервер с виртуалками.
3. Про время жизни. Найди плиз его для данной дыры. Т.е. когда нашли дыру, когда появился сплоит, когда закрыли дыру. Мне не хочется искать — ведь это твоя задача .
KV>Я так понимаю, остальное сказанное мной возражений не вызвало?
Вызвало . В конце про миф. Не охота спорить просто. Лучше спрошу: читал ли ты/смотрел ли на реализацию безопасноти в Андроиде. И если да, какие впечатления?
Приветствую, kochetkov.vladimir, вы писали:
k> Ну как бы, кто б спорил-то? Я ж их не сравниваю, я "немножко" о другой вещи говорю
Тоесть какбы винда просто менее защищена, так?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, master_of_shadows, Вы писали:
__>>Ты перейди по ссылке, и почитай что там за сплоиты. Я вон до сих пор весь в слезах .
KV>Рыдай дальше: http://www.exploit.in/forum/index.php?showtopic=12005
Что нет и быть не может вменяемые лиуксоиды и не утверждали и такие вещи как руткиты и взломы линукс-систем очень даже бывают. Но вот с вирусами, в смысле с автоматическим заражением, как-то резко хуже.
Может ещё и потому, что именно удаленных 0-day дырок, позволяющих реально внедрить чужой код, как-то мало, особенно учитывая принятые по умолчанию настройки.
KV> Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих?
А ничего, что под Linux есть куча серверов, довольно лакомых для всяких целей, только что-то не очень их спешат поражать.
А что касается массы, под виндой уж очень многие работают с правами админа, потому что в противном случае, в отличие от линукса, слишком много возни нужно. Признаюсь, что и я прекрасно понимая, что это нежелательно, работаю в винде обычно с админскими правами. Правда и вирусов у меня, несмотря на это почему-то нет или я думаю, что нет.
А безопасность — это не совсем процесс. Может быть создана системы с доказанной безопасностью, правда такое мало кому нужно и по причине стоимости и по соображениям удобства.
Здравствуйте, Sheridan, Вы писали:
S>Приветствую, kochetkov.vladimir, вы писали:
k>> Ну как бы, кто б спорил-то? Я ж их не сравниваю, я "немножко" о другой вещи говорю S>Тоесть какбы винда просто менее защищена, так?
Отнюдь. Количество обнаруженных уязвимостей не определяет факт защищенности системы в каждый определенный момент времени. Оно говорит лишь о возможности их существования там, не более того.
Просто в винде уязвимости ищут более активно и с большей мотивацией. Вот как-то так.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>> Господа линуксоиды, вы будете продолжать утверждать, что подобных ошибок больше нет? Тогда на чем основывается ваш постулат, что под linux вирусов нет и быть не может? А что есть в уже упомянутом метасплоите по линуксячью душу? http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=linux&commit=Search+Modules — мама дорогая, да там полный набор...
M>Что нет и быть не может вменяемые лиуксоиды и не утверждали
А может я это для невменяемых писал? Их вообще-то, субъективно больше, не в обиду будет сказано. Ну или, по крайней мере, они громче и больше шороху наводят
M>и такие вещи как руткиты и взломы линукс-систем очень даже бывают. Но вот с вирусами, в смысле с автоматическим заражением, как-то резко хуже.
За счет чего?
M>Может ещё и потому, что именно удаленных 0-day дырок, позволяющих реально внедрить чужой код, как-то мало, особенно учитывая принятые по умолчанию настройки.
Я даже написал почему их мало, вообще-то.
KV>> Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих?
M>А ничего, что под Linux есть куча серверов, довольно лакомых для всяких целей, только что-то не очень их спешат поражать.
Да ну?
M>А что касается массы, под виндой уж очень многие работают с правами админа, потому что в противном случае, в отличие от линукса, слишком много возни нужно.
Это миф времен XP
M>Признаюсь, что и я прекрасно понимая, что это нежелательно, работаю в винде обычно с админскими правами. Правда и вирусов у меня, несмотря на это почему-то нет или я думаю, что нет.
А какая версия винды?
M>А безопасность — это не совсем процесс. Может быть создана системы с доказанной безопасностью, правда такое мало кому нужно и по причине стоимости и по соображениям удобства.
"Доказанная безопасность" — это баззворд, мы же это еще в "Философии" недавно выяснили. Безопасность может быть "оцененной", но не более того. Ну вот SELinux — вполне себе MAC, реализует доказанную модель. Выше я привел пример того, чего стоит вся эта "доказанная" безопасность. Хинт: корректность реализации ты как доказывать будешь?
k>>> Ну как бы, кто б спорил-то? Я ж их не сравниваю, я "немножко" о другой вещи говорю S>>Тоесть какбы винда просто менее защищена, так?
KV>Отнюдь. Количество обнаруженных уязвимостей не определяет факт защищенности системы в каждый определенный момент времени. Оно говорит лишь о возможности их существования там, не более того.
KV>Просто в винде уязвимости ищут более активно и с большей мотивацией. Вот как-то так.
Ну и плюс тот факт, что линукс обычно специально настраивается очень осторожно.
Вот реальный пример. Терминал оплаты. Стоит очень аккуратно собранная Генту(есть только самое необходимое для работы). Полное анальное отгорожение: все порты с внешнего мира задраены. Там крутится клиент на жабе. Он и осуществляет коммуникацию. По шифрованному каналу с рабочим ключем(достаточным, чтобы его взлом стал бесполезным занятием). Рабочий ключ обновляется каждые сутки. Мастер загружется один раз по SSL по уникальному коду, вводимому при активации(после которой, ессно, код протухает). Часть этого кода не передается, а является куском мастера. Код на терминал передается не электронным образом, т.е. его вводит доверенное лицо(считаем этот канал неперехватываемым, иначе это уже не технический взлом). Как это ломать? Перехватывать сообщения, подменять и взламывать жабовский(pure, без нативы вообще) код дешифрации? Ну это кагбе трудно: ни вам адресной арифметики, ни переполнений, виртуальная машина бдит. Ломать шифрование за сутки — анриал. Как это вообще ломать?
Вобщем, поинт в том, что ломать то, что грамотно защищено, всегда сильно труднее, чем пользовательскую машину, особенно если пользователь не шарит в IT и не страдает параноей.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
V>2. Зоопарка архитектур. В соседних ветках жалуются, что под разными дистрами линукса не идут некоторые приложения. А ты хочешь эксплойты! Не говоря уже о том, что кроме линукса есть солярка, фрибсд, и проч.
Ага.
#anime
xxx: я уже пять лет не переставлял о.с. и на ней никогда небыло антивируса, никогда ничего не ловил, не понимаю тот народ который плачется что подцепил троян и его не спас крутой дядя каспер или новый нод, что они такого делали ?
yyy: снеси уже свой линукс и кончай народу мозг парить
xxx: ну во первых не линукс а QNX......
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
KV>Начнем с винды: http://habrahabr.ru/company/eset/blog/103249/ внимательно читаем (включая комменты) и осознаем, что все что дает нам 64-разрядность ядра ОС, это невозможность запуска на ней старых сплоитов, руткитов и т.п., разработанных под 32-битные архитектуры. В отличии от новых, ага. Как видно из статьи, в общем-то и обязательная подпись драйверов как бы не встает вопросом. А в свете того, что наметилась тенденция к краже ключей для подписи у уважаемых вендоров...
про линукс ничего не скажу но с вендой 0-day сегодня постучался прямо в лоб.
Читая новости потянулась рука нажать на ссылку: www.semiaccurate.защитаотнажатия.com/2010/09/01/amd-outs-bulldozer-based-orochi-die/
и пробило и фокс со всеми плагинами и 7ку x64 с UAC и Nod32 даже не пискнул. И даже без перезагрузки.
есть инфа от людей на форуме где я ссылку нашел что каспер справился.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
[...]
Ты чего сказать-то хотел, мил человек? Плохой вброс, негодный. Камменты не доставляют. Неужто потерял сноровку?
KV>dixi.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, Michael7, Вы писали:
M>А безопасность — это не совсем процесс. Может быть создана системы с доказанной безопасностью, правда такое мало кому нужно и по причине стоимости и по соображениям удобства.
Это сродни отключенному от сети (электрической компьютеру).
Покажи мне хоть одну систему, которая была создана и все. И больше к ней не прикасались.
К слову, утопичность такого подхода DoD понял еще в 70-ые.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.
Вот мне кажется что Win98 на сегодняшний день самая защищенная система
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
M>>>и такие вещи как руткиты и взломы линукс-систем очень даже бывают. Но вот с вирусами, в смысле с автоматическим заражением, как-то резко хуже.
KV>>За счет чего?
M>За счёт большого разнообразия, хотя бы. Причём даже в рамках одного и того же дистрибутива. Например, чтобы после срыва стека коду получить управление, надо всё точно рассчитать, а тут банально если скомпилировать немного другой версией компилятора или использовать чуть другие версии библиотек, уже внедрение запросто может оказаться неработоспособным.
ASLR
M>В тоже время, как я уже говорил, работать с рутовыми правами как-то не принято, соответственно даже в случае успешного запуска на исполнение после проникновения возможностей что-то сделать сильно меньше.
UAC в семёрке совершенно не напрягает. С другой стороны LPE дыры в линухе это очень частое явление. А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
Здравствуйте, Eugeny__, Вы писали:
KV>>Просто в винде уязвимости ищут более активно и с большей мотивацией. Вот как-то так. E__>Ну и плюс тот факт, что линукс обычно специально настраивается очень осторожно. E__>Вот реальный пример. Терминал оплаты. Стоит очень аккуратно собранная Генту(есть только самое необходимое для работы).
Странно, что этот довод до сих пор никто не вспомнил. Точнее не совсем этот, а тот факт, что в линуксе можно выпилить все ненужное собрав систему с минимальной "площадью плоскости атаки". Правда этот аргумент слабоприменим к домохозяйкам в целом (ибо требуется квалификация) и к десктопам в частности (т.к. там особо нечего выпиливать).
E__>Как это вообще ломать?
Искать ошибки в реализации, либо прибегать к "нетехническим" средствам, если это дешевле
E__>Вобщем, поинт в том, что ломать то, что грамотно защищено, всегда сильно труднее, чем пользовательскую машину, особенно если пользователь не шарит в IT и не страдает параноей.
Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые?
Здравствуйте, FR, Вы писали: FR>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Это миф времен XP
FR>Так данный момент и есть время XP и ближайшие пару — тройку лет точно будет.
Не уверен, т.к. наблюдаю иную картину, практически у всех моих знакомых уже семерка, контора переходит на семерку в конце года (да и то, исключительно в силу весьма консервативной политики, а так бы мы давно на ней уже сидели).
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
M>>>и такие вещи как руткиты и взломы линукс-систем очень даже бывают. Но вот с вирусами, в смысле с автоматическим заражением, как-то резко хуже.
KV>>За счет чего?
M>За счёт большого разнообразия, хотя бы. Причём даже в рамках одного и того же дистрибутива. Например, чтобы после срыва стека коду получить управление, надо всё точно рассчитать, а тут банально если скомпилировать немного другой версией компилятора или использовать чуть другие версии библиотек, уже внедрение запросто может оказаться неработоспособным.
Существует масса техник позволяющих решить эту проблему: распыление хипа, нопслайдинг и т.п. В общем случае, сие "разнообразие" отнюдь не затруднит написание эксплоита, работающего под разными сборками / дистрами. Кроме того, навскидку, оценишь какой процент пользователей той же ubuntu, используют "разнообразный" код, отличающийся от того, который включен в дистр и репы?
M>В тоже время, как я уже говорил, работать с рутовыми правами как-то не принято, соответственно даже в случае успешного запуска на исполнение после проникновения возможностей что-то сделать сильно меньше.
По одной из ссылок в исходном посте это утверждение опровергается работающим сплоитом. Гарантируешь, что таких огрехов в линухе больше нет и не будет? (Хинт: эскалации привилегий в линухе обнаруживаются совсем не так редко, как этого бы хотелось его сторонникам).
M>>>А ничего, что под Linux есть куча серверов, довольно лакомых для всяких целей, только что-то не очень их спешат поражать.
M>Про поражение вирусами (червями) виндовых серверов я слышал, о поражении юниксовых систем со времен Морриса что-то нет.
Я не говорил о поражении серверов вирусами.
M>Остальное, результат проблем с конкретными приложениями,
А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"?
M>например, движка phpBB, при том, некоторые дыры даже были кроссплатформенными. Опять же причем тут линукс, впрочем как и винда.
Минуточку. Если через движок phpBB можно проникнуть на сервер и, эксплуатируя имеющуюся там эксалацию привилегий хоть под линуксом, хоть под виндой, то в чем же тогда преимущество линукса в плане защищенности?
M>>>А что касается массы, под виндой уж очень многие работают с правами админа, потому что в противном случае, в отличие от линукса, слишком много возни нужно.
KV>>Это миф времен XP
M>В висте UAC тоже очень любят отключать, в 7-ке с этим несколько получше, но все равно достает. Собственно, мне так и не понятно, что кроме жабы мешает в винде реализовать на десктопе нормальное переключение между разными пользователями.
Что такое "нормальное" переключение между пользователями? Чем именно оно "нормально"?
M>Возвращаясь к линуксу, замечу, что может быть, действительно каких-то особых отличий в архитектуре безопасности и нет, но есть целый ряд моментов, которые реализованы в этом смысле лучше и в совокупности это сказывается.
Давай не будем, говоря о безопасности, использовать понятие "сказывается"? Какие конкретно риски, связанные с информационными угрозами это снижает?
M>Кстати, о реестре, то что Microsoft вытворила для Win64 в этом плане тоже образец для неподражания.
Соглашусь, но к безопасности это не имеет отношения.
Здравствуйте, Cyberax, Вы писали:
C>Тщательное разделение привилегий.
Чем в винде оно менее тщательное?
C>И нежелание использовать полурабочие решения.
Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь?
KV>>2. Подсистемы мандатного доступа. Успевший почить AppArmor C>В смысле — оно уже в mainline.
Здорово, я это как-то пропустил. Тем лучше, хорошая новость.
C>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard,
В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух?
C>который сделан не для анального изнасилования пользователей DRM'ом.
То, что линукс прекрасно взламывается, вопреки выкрикам о его мега-безопасности.
KV>>Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)? C>Зачем домохозяйке конфигурировать SELinux?
Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки?
C>Мимо.
Здравствуйте, Vamp, Вы писали:
KV>>Теперь линукс. V>Unix защищен лучше за счет: V>1. Разделения привелигий. Система исторически была спроектирована с разделением, и все умеют правильно этим пользоваться.
В NT разделение привилегий было изначально.
V>Под виндой ДО СИХ ПОР все сидят под админом.
Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку.
V>2. Зоопарка архитектур. В соседних ветках жалуются, что под разными дистрами линукса не идут некоторые приложения. А ты хочешь эксплойты! Не говоря уже о том, что кроме линукса
Ответил парой сообщений выше.
V>есть солярка, фрибсд, и проч.
Они не имеют отношения к обсуждаемой теме.
V>3. В дополнение к 1, для поддержки разделяемых полономочий в никсах есть много всяких решений.
В винде есть больше и из коробки, но и сторонних решений достаточно.
V>Например судо,
UAC, маркеры с пониженными привилегиями.
V>ролевая безопасность в солярке,
Дискреционно-ролевой доступ есть в винде изначально.
V>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч.
Реализовано через права в NTFS.
V>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое?
Рассуждения уровня детсада. С таким же успехом я могу сказать, что ту прелесть с иксами (см. ссылку в первом посте), встроил злобный линуксоид желая поработить весь мир.
Здравствуйте, SleepyDrago, Вы писали:
SD> www.semiaccurate.защитаотнажатия.com/2010/09/01/amd-outs-bulldozer-based-orochi-die/ SD>и пробило и фокс со всеми плагинами и 7ку x64 с UAC и Nod32 даже не пискнул. И даже без перезагрузки. SD>есть инфа от людей на форуме где я ссылку нашел что каспер справился.
Здравствуйте, frogkiller, Вы писали:
F>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
F>[...]
F>Ты чего сказать-то хотел, мил человек? Плохой вброс, негодный. Камменты не доставляют. Неужто потерял сноровку?
За годными вбросами и доставляющими комментами — на лурку, там этого будет более чем достаточно.
Здравствуйте, kochetkov.vladimir, Вы писали:
FR>>Вот мне кажется что Win98 на сегодняшний день самая защищенная система KV>Боюсь, она не очень работоспособна на сегодняший день.
Не понял? Все работоспособно — у меня она последний раз стояла для игрищ в Star Control 3 — правда это было года 3 назад, но с тех пор и мой компьютер и не менялся
(Disclaimer: Demandered и прочие обладатели компьютеров за 150 килорублей, не надо мне доказывать какой я нищеброд. Могу купить и хочу купить — разные вещи, собственно уже порядка 3-х лет у меня не было времени на компьютерные игры ).
Здравствуйте, ЯпонИц, Вы писали:
ЯИ>Жители Вилариба выбрали Висту и пошли спать. А жители Вилабаджо всю ночь компилировали ядро Линукс. На утро каждый житель Виларибы почувствовал на себе действие червя "конфицкер" и обратился к венерологу, а жители Вилабаджо веселились и качали торренты.
Эпидемия первой версии конфикера была зарегистрирована 21 ноября 2008 года. В ней использовалась уязвимость в службе сети, закрытая MS еще 23 октября 2008 года. Намек понятен?
ЯИ>(c) www.securitylab.ru
При всем уважении к коллегам из Positive Labs, этот сайт — отстойник
Я уже не знаю по какой причине, но реально бит запрета на исполнение в стеке у меня работает в 64-битном Linux. Впрочем не утверждаю, что в винде он не работает, скорее всего чего-то не сделал правильно.
IID>UAC в семёрке совершенно не напрягает. С другой стороны LPE дыры в линухе это очень частое явление. А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права?
Какие все сегодня болтливые...
У тебя есть несколько неточностей, мимо которых я просто не могу пройти.
M>Итак:
M> * поставить отдельную копию в виртуальную машину,
С чего ради? Десктопная лицензия MS как раз таки позволяет запускать любое число копий ПО на одной железке — если ты один его используешь.
Пример с виртуальными машинами есть в PURе.
M> * и не смогу поделиться дистрибутивом с товарищем
Если у тебя коробка, то можешь.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, IID, Вы писали:
IID>>ASLR
M>Я уже не знаю по какой причине, но реально бит запрета на исполнение в стеке у меня работает в 64-битном Linux. Впрочем не утверждаю, что в винде он не работает, скорее всего чего-то не сделал правильно.
ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера.
M>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права?
Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Существует масса техник позволяющих решить эту проблему: распыление хипа, нопслайдинг и т.п. В общем случае, сие "разнообразие" отнюдь не затруднит написание эксплоита, работающего под разными сборками / дистрами. Кроме того, навскидку, оценишь какой процент пользователей той же ubuntu, используют "разнообразный" код, отличающийся от того, который включен в дистр и репы?
Но все-таки затрудняет. Есть разные версии Ubunt-ы и разное состояние системы после обновления с репозитариев. Так что, даже для неё разнообразие имеет место.
KV>По одной из ссылок в исходном посте это утверждение опровергается работающим сплоитом. Гарантируешь, что таких огрехов в линухе больше нет и не будет? (Хинт: эскалации привилегий в линухе обнаруживаются совсем не так редко, как этого бы хотелось его сторонникам).
Собственно, мы о чем спорим? Я вроде и не утверждал, что в линухе принципиально невозможен взлом или даже вирусы, просто целый ряд факторов и отнюдь не только меньшая распространенность на десктопах, делает вирусы более сложными в
KV>Я не говорил о поражении серверов вирусами.
А какая разница, тем более с точки зрения вирусописателя, заразить сервер, наверное интереснее, из-за его ресурсов.
M>>Остальное, результат проблем с конкретными приложениями,
KV>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"?
В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее.
Что касается 7-ки, то я прямо слышал рекомендацию хорошо подождать, пока не утрясется, потому что сетевой стек там переписали (или еще в висте его переписали)
M>>например, движка phpBB, при том, некоторые дыры даже были кроссплатформенными. Опять же причем тут линукс, впрочем как и винда.
KV>Минуточку. Если через движок phpBB можно проникнуть на сервер и, эксплуатируя имеющуюся там эксалацию привилегий хоть под линуксом, хоть под виндой, то в чем же тогда преимущество линукса в плане защищенности?
Эскалация-то да, но обычно заражен только движок оказывается.
M>>В висте UAC тоже очень любят отключать, в 7-ке с этим несколько получше, но все равно достает. Собственно, мне так и не понятно, что кроме жабы мешает в винде реализовать на десктопе нормальное переключение между разными пользователями.
KV>Что такое "нормальное" переключение между пользователями? Чем именно оно "нормально"?
Хотя бы, чтобы не надо было вылогиниваться с текущего пользователя, чтобы установить новую программу. Да я знаю про run as, но зачастую нужен именно логин под другим пользователем.
M>>Возвращаясь к линуксу, замечу, что может быть, действительно каких-то особых отличий в архитектуре безопасности и нет, но есть целый ряд моментов, которые реализованы в этом смысле лучше и в совокупности это сказывается.
KV>Давай не будем, говоря о безопасности, использовать понятие "сказывается"? Какие конкретно риски, связанные с информационными угрозами это снижает?
Риск подцепить вирус, блуждая по интернету, хотя бы.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>При всем уважении к коллегам из Positive Labs, этот сайт — отстойник DOO>Если че, то коллеги работают в Positive Technologies
Здравствуйте, Eugeny__, Вы писали:
E__>Зато на серверах, в embedded, и пр. применимо аж вовсю(а часто и совершенно необходимо, так как не везде ресурсов завались). E__>Нетехнически ломают толко вперед. Обычным ломом в плохоохраняемых местах. Но этот аспект безопастности мы здесь не обсуждаем.
Мы здесь обсуждаем бенефиты безопасности при переходе с винды на линукс енд-юзеров, вообще-то. Мне, как топикстартеру виднее, если что
KV>>Именно. Так вот чем отличаются пользовательские машины windows и linux юзеров, что делает вторые более защищенными чем первые? E__>Сейчас — юзерами. Их общей IT грамотностью.
Считаешь, что это свойство сохранится при массовом переходе на линух?
E__>Проблема в том, что трояны заражают десктопный комп через юзера, а не через какие-то там дыры.
Вообще-то, трояны бывают разные
E__>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
FR>>>Вот мне кажется что Win98 на сегодняшний день самая защищенная система KV>>Боюсь, она не очень работоспособна на сегодняший день. DOO>Не понял? Все работоспособно —
У меня на моем стареньком NC6400 не завелась
DOO>у меня она последний раз стояла для игрищ в Star Control 3 — правда это было года 3 назад, но с тех пор и мой компьютер и не менялся
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, IID, Вы писали:
IID>>ASLR
M>Я уже не знаю по какой причине, но реально бит запрета на исполнение в стеке у меня работает в 64-битном Linux. Впрочем не утверждаю, что в винде он не работает, скорее всего чего-то не сделал правильно.
Ты путаешь. Запрет исполнения данных это DEP. А ASLR это рандомизация при загрузке исполняемых модулей. Каждая новая загрузка системы даёт уникальное расположение модулей в памяти. И эксплоитам приходится очень не сладко.
Здравствуйте, DOOM, Вы писали:
M>> * поставить отдельную копию в виртуальную машину, DOO>С чего ради? Десктопная лицензия MS как раз таки позволяет запускать любое число копий ПО на одной железке — если ты один его используешь. DOO>Пример с виртуальными машинами есть в PURе.
M>> * и не смогу поделиться дистрибутивом с товарищем DOO>Если у тебя коробка, то можешь.
Мотороллер не мой Но тот человек, видимо эти пункты брал из OEM-лицензии. Кроме того, так сходу не найду текст, но кажется версии типа Home вообще нельзя в виртуалке гонять.
Здравствуйте, DOOM, Вы писали:
DOO>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера.
Одним из способов и является запрет.
M>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права? DOO>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами.
А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, DOOM, Вы писали:
DOO>>ASLR это не запрет выполнения данных. Это Address Space Layout Randomization — способ бороть статические сплойты на переполнение буфера. M>Одним из способов и является запрет.
Но Address Space Layout Randomization это вполне конкретный способ, который никак не связан с запретом выполнения.
M>>>Тут я немного не копенгаген, однако вроде для снифания уже необходимы рутовые права? DOO>>Ну видимо речь о снифовании в сети, где ты уже со своим компутером и нужными правами. M>А при чём тут X-Server тогда? Он никак в сеть не светит. Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает.
Ну так-то ты зря — работают.
M>а там наверное и шифрование возможно прикрутить, если требуется.
Естественно.
Здравствуйте, Eugeny__, Вы писали:
KV>>Вообще-то, трояны бывают разные
E__>Хм. Я-то думал, что "троян" пошло от Троянского Коня, которого жители Трои сами впустили в город, в обход всех защитных механизмов. E__>Вирусы, попадающие в комп другим путем, называются по-другому.
Вообще-то, я говорил в этой теме о малвари — классу ПО, охватывающему весь вредоносный софт, включая и трояны. Когда ты упомянул о троянах, я решил, что ты употребляешь это название как синоним моему "малварь" и отвечал исходя из этого
IID>А соснифать рутовый пароль из X-Server-а, как я понял, вообще плёвая задачка, бо архитектурно так заложено.
Мы вроде о декстопе говорим? Кто и как там его снифать будет?
Здравствуйте, kochetkov.vladimir, Вы писали: KV>Эпидемия первой версии конфикера была зарегистрирована 21 ноября 2008 года. В ней использовалась уязвимость в службе сети, закрытая MS еще 23 октября 2008 года. Намек понятен?
ЯИ>>(c) www.securitylab.ru
KV>При всем уважении к коллегам из Positive Labs, этот сайт — отстойник
В каждой шутке есть доля шутки. Вот жители Вилариба не собрались коллетивным разумом и не установили обновления на виндовс, а жители Виллабаджо коллективным разумом все таки смогли настроить Линукс
А вообще не хватает уведомлений о критических апдейтов в винде. У меня настройки обновления в винде и линуксе одинаковые (только уведомлять), так линукс уведомляет здоровой красной фигней в углу, а винда стандартным баблом о новых уведомлениях...
KV>В NT разделение привилегий было изначально.
Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
KV>Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку.
Я обобшаю то, что вижу своими глазами.
KV>Ответил парой сообщений выше.
Ответ не релевантен.
KV>Они не имеют отношения к обсуждаемой теме.
Отчего же?
KV>UAC, маркеры с пониженными привилегиями.
Как связаны UAC и судо?
KV>Дискреционно-ролевой доступ есть в винде изначально.
Не так и не то. В солярке по умолчанию вообще нету пользователя рут — есть роль рута, которая разрешена определенным пользователям.
V>>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч. KV>Реализовано через права в NTFS.
Суид есть в НТФС? Ты ничего не путаешь?
V>>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое? KV>Ошибки были есть и будут везде.
Это не ошибка, это такая дыра в безопасности, что это как раз и есть детсад. Или, скажешь, нормальное дело?
M>Конечно, если X-Server и остальная система на разных компьютерах, может что и получится, но так сейчас мало кто работает, а там наверное и шифрование возможно прикрутить, если требуется.
До фига и больше народу так работает, но используется X over SSH.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Не уверен, т.к. наблюдаю иную картину, практически у всех моих знакомых уже семерка, контора переходит на семерку в конце года (да и то, исключительно в силу весьма консервативной политики, а так бы мы давно на ней уже сидели).
M>Между прочим, условия лицензии устраивают или её толком не читали? Действительно интересно.
Мы не используем OEM или коробочные лицензии. Наша — нас устраивает и устраивала с самого начала
M>Мне кажется, или они уже залезают не в свою епархию? Какое им дело до того, что гугл мне нашел? Вообще, данный пункт допускает максимально широкую трактовку и вызывает множетсво очевидных вопросов, поэтому не буду здесь на нем зацикливаться, а просто поставлю еще один крестик и обведу его жирным кружочком.
Вот это особо порадовало. Типа: "нихрена не понял, но будем читать этот текст в пользу моего мнения" Остальное даже лень комментировать, текст полон домыслов и необоснованных утверждений
M>Итак:
M> * на компьютер устанавливается ОС, которая мне не принадлежит;
Вообще-то, тебе не принадлежит любой купленный тобой софт по коммерческой лицензии. Потому что в этом случае, ты приобретаешь лицензию на его использование, а не имущественные права на его копию
M> * которую я не могу исследовать и модифицировать под свои нужды;
Код и бинарные модули которой не можешь <...> . Это стандартный пункт большинства коммерческих лицензий, было бы странно рассчитывать на обратное.
M> * при этом я постоянно нахожусь под подозрением в неправомерности использования этой ОС и некоторых компонентов, с риском в неподходящий момент оказаться один на один с заблокированной из-за этих подозрений системой;
Не понял, откуда сделан этот вывод.
M> * ни производитель, ни продавец системы не несут передо мной никакой ответственности за непреднамеренные (и преднамеренные) убытки, вызванные поломкой системы, кроме гарантийных обязательств, да и то в рамках стоимости системы;
Как и любом другом случае с любой другой аналогичной лицензией (в т.ч. и свободной).
M> * я не могу сделать более одной копии дистрибутива,
Если лицензия запрещает — да, не можешь.
M> * поставить отдельную копию в виртуальную машину,
Если лицензия запрещает — да, не можешь.
M> * и не смогу поделиться дистрибутивом с товарищем
См. выше про имущественные права.
M> * мне всегда придется читать лицензионные соглашения ко всем продуктам, на которых большими буквами не написано GPL
Лицензионное соглашение имеет статус договора, заключаемого тобой с держателем имущественных прав при его принятии. Было бы весьма странно его не читать и при этом брать на себя обязательства, которые в нем оговорены. И независимо от того, какие большие буквы там у нее в заголовке, вообще-то ее стоит читать, ибо возможна ситуация, что написано GPL, а содержание при этом будет "немножко" отличаться от того, что ты привык считать GPL'ем.
M>Между прочим, это уже связано с Microsoft Office, но для начальства стало крайне неприятным сюрпризом, то что внезапно оказывается на использование MS Office на сервере требуются специальные лицензии по числу пользователей. А на нем хотели использовать MS Office (вернее только Word) для автоматической обработки загружаемых документов.
Дык, велкам в мир проприетарного софта. Чего ты хотел-то? Не нравится — переходи на свободный софт. Только какое это имеет отношение к данному топику?
Здравствуйте, frogkiller, Вы писали:
F>[...]
F>Ты чего сказать-то хотел, мил человек? Плохой вброс, негодный. Камменты не доставляют. Неужто потерял сноровку?
И вообще, не мешай мне бенефис Владимира Кочеткова по КСВ устраивать. Я только начал
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
Мнэээ... хочется начать с вопроса — а чего собственно ты завёлся-то? Ну оккупировали, так "твоих" (если уж рассчитывать в терминах противостояния) на порядки больше — вон, >90% десктопа оккупировано виндой. И что дальше? Просто тенденция не нравится, что linux фактически погрёб под собой все рынки, кроме собственно десктопа?
KV>Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы?
Да хотя бы то, что её можно понять. Изучая систему защиты винды я чуть не кончился, и это при том, что не первый год "в системе". А простому юзеру? Да он вообще ничего не поймёт, кроме того, что ему предлагают что-то разрешить — и он не разбираясь или разрешит, или запретит.
KV>Господа, может хватить лицемерить? Может уже пора признать, что "секрет" защищенности вашей любимой системы не в каких-то особенностях ее архитектуры или существующих дошлепках к ядру (хотя как будет конфигурировать SELinux та же домохозяйка — лично для меня загадка, я хотел бы на это посмотреть)? Быть может, дело в том, что ваша система пока еще нахрен никому не упала еще не набрала той критической массы десктоп-пользователей, чтобы сделать ее выгодной целью для атакующих? Ну, это в общем-то даже признаваемый наиболее адвекватными из вас факт. Так зачем вы тогда так рьяно зовете на нее всех кого ни попадя? Если ж вся эта зазываемая братия ломанется к вам, и критическая масса будет достигнута, что будет с вашей системой, которую (в десктоп-конфигурациях) особо еще и жизнь-то не потрогала, в отличии от винды, прошедшей уже приличный эволюционный путь под постоянным воздействием враждебной окружающей среды? Или вы не верите в эволюцию?
При чём тут верить или не верить? Почитай "Слепого часовщика". Ты считаешь, что винда — такой же эволюционный урод, как любой живой организм? Тогда это никак ей не комплимент, скорее наоборот.
KV>Безопасность через переход на якобы более защищенную ОС, будь то хоть винда, хоть линукс, хоть макос, хоть фря (можно я не буду дальше перечислять?) — это миф. Потому что безопасность — это процесс, а защищенность ОС — это одномоментное состояние, которое может измениться в любое время под воздействием внешних (неконтролируемых вами) факторов.
KV>dixi.
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
ЯИ> KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
ЯИ> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
V>>Мы вроде о декстопе говорим? Кто и как там его снифать будет? IID>Кто — троян. Как — сниффать евенты чужих окон. Вот например
А, ты про gksudo? О небезопасности этой утилиты я уже писал недели три назад. Вводить пароль в графические окошки, которые вдруг всплывают у тебя на десктопе — это опасно и плохо.
Здравствуйте, kochetkov.vladimir, Вы писали:
C>>Тщательное разделение привилегий. KV>Чем в винде оно менее тщательное?
Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру.
C>>И нежелание использовать полурабочие решения. KV>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь?
Разработчиков Линукса.
C>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух?
Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру.
C>>который сделан не для анального изнасилования пользователей DRM'ом. KV>Про идеологию мне сейчас общаться неинтересно, это не имеет ни малейшего отношения к безопасности.
Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности.
KV>>>xz: А что есть в уже упомянутом метасплоите по линуксячью душу? http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=linux&commit=Search+Modules — мама дорогая, да там полный набор... C>>И что дальше? KV>То, что линукс прекрасно взламывается, вопреки выкрикам о его мега-безопасности.
Тебе уже про смехотворность твоих доводов сказали.
Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса?
C>>Зачем домохозяйке конфигурировать SELinux? KV>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки?
Да. А какие проблемы?
C>>Мимо. KV>"Аргументировано"
Ага. Убийственный аргумент.
Здравствуйте, Vamp, Вы писали:
KV>>В NT разделение привилегий было изначально. V>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
Я даже больше скажу, многие из этих пользователей сидели за 3.11, а еще раньше за DOS, а еще раньше за спектрумами, амигами, атарями, БК и, не побоюсь этого слова: ДВК (ибо сам играл на нем в орегонскую тропу). Что это доказывает?
Черт, я еще Радио-86РК забыл и нечто, что предлагали собрать в ЮТ "Для умелых рук".
Основная масса пользователей вообще не застала линейку 9х, если что.
KV>>Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку. V>Я обобшаю то, что вижу своими глазами.
Какое количество пользователей ты видишь своими глазами?
KV>>Ответил парой сообщений выше. V>Ответ не релевантен.
Это либо к гуглу либо изволь выразиться конкретнее.
KV>>Они не имеют отношения к обсуждаемой теме. V>Отчего же?
См. заголовок темы.
KV>>UAC, маркеры с пониженными привилегиями. V>Как связаны UAC и судо?
Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы.
KV>>Дискреционно-ролевой доступ есть в винде изначально. V>Не так и не то. В солярке по умолчанию вообще нету пользователя рут — есть роль рута, которая разрешена определенным пользователям.
В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше.
V>>>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч. KV>>Реализовано через права в NTFS. V>Суид есть в НТФС? Ты ничего не путаешь?
Суида нет, недоглядел, когда цитировал.
V>>>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое? KV>>Ошибки были есть и будут везде. V>Это не ошибка, это такая дыра в безопасности, что это как раз и есть детсад. Или, скажешь, нормальное дело?
Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного.
Здравствуйте, ononim, Вы писали:
O>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС.
Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества?
Здравствуйте, netch80, Вы писали:
N>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
N>Мнэээ... хочется начать с вопроса — а чего собственно ты завёлся-то? Ну оккупировали, так "твоих" (если уж рассчитывать в терминах противостояния) на порядки больше — вон, >90% десктопа оккупировано виндой.
Как мне сказала недавно, в соседнем форуме, одна умная и добрая девушка:
с чего вы взяли что я здесь (или где-либо еще) все делаю — всерьез? если я не ставлю смайликов или не делаю явных и даже дураку-понятных-знаков что я шючю — это еще ничего не значит.
N>И что дальше? Просто тенденция не нравится, что linux фактически погрёб под собой все рынки, кроме собственно десктопа?
Да мне пофиг Впрочем нет. Я рад каждому витку развития линукса, но по причинам, далеким от причин "красноглазых".
KV>>Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы?
N>Да хотя бы то, что её можно понять. Изучая систему защиты винды я чуть не кончился, и это при том, что не первый год "в системе". А простому юзеру? Да он вообще ничего не поймёт, кроме того, что ему предлагают что-то разрешить — и он не разбираясь или разрешит, или запретит.
Зачем простому юзеру знать архитектуру безопасности системы?
KV>Основная масса пользователей вообще не застала линейку 9х, если что.
Да ну? Пользователей ЧЕГО?
KV>Какое количество пользователей ты видишь своими глазами?
Ну не знаю... допустим, человек 100.
KV>См. заголовок темы.
Линукс — это просто разновидость юникса.
V>>Как связаны UAC и судо? KV>Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы.
Только судо это делает лучше. Объяснить почему?
KV>В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше.
Ага. То есть речь уже только про семерку. То есть и 20 лет не пришло, как в Микрософт начали заимствовать решения, считающие стандартными в соседних ОС — и это повод считать Винду нормально защищенной? Странная логика.
KV>Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного.
Бывают разные ошибки. Можно забыть удалить указатель. А можно соорудить мессадж бокс "А что за х...я сейчас случилась — я хер его понимаю!" — реальный случай, у меня приятель в техподдержке 1С работал, однажды бухгалтер какая-та звонила и спрашивала, что значит такое сообщение.
А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, утвержденное на всех уровнях вполть до самого высокого, часть презентации системы. Почему утвердили — потому что о безопасности ВООБЩЕ не думали. То есть при проектировании системы безопасность просто не принималась во внимание. Отсюда все проблемы.
O>>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС. KV>Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества?
по сути да, только слова 'линукс-сообщество' я бы убрал
Как много веселых ребят, и все делают велосипед...
Здравствуйте, Vamp, Вы писали:
KV>>Основная масса пользователей вообще не застала линейку 9х, если что. V>Да ну? Пользователей ЧЕГО?
Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го.
KV>>Какое количество пользователей ты видишь своими глазами? V>Ну не знаю... допустим, человек 100.
Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин).
KV>>См. заголовок темы. V>Линукс — это просто разновидость юникса.
А все это — просто разновидность операционной системы. Ты всерьез готов рассуждать о том, что фря или солярка может составить конкуренцию на десктопах тому же линуксу.
V>>>Как связаны UAC и судо? KV>>Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы. V>Только судо это делает лучше. Объяснить почему?
Будь так добр.
KV>>В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше. V>Ага. То есть речь уже только про семерку. То есть и 20 лет не пришло, как в Микрософт начали заимствовать решения, считающие стандартными в соседних ОС — и это повод считать Винду нормально защищенной? Странная логика.
У понятия "нормально защищенная" есть четкие критерии оценки, вообще-то. В терминах угроз и рисков. Я пытаюсь здесь оперировать ими. От тебя же я еще не услышал ничего кроме "заимствовать решения", "делает лучше", "исторически спроектирована", "зоопарк архитектур" и постоянных попыток приплести сюда другие ОС и убедить меня в том, что зеленое это красное.
KV>>Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного. V>Бывают разные ошибки. Можно забыть удалить указатель. А можно соорудить мессадж бокс "А что за х...я сейчас случилась — я хер его понимаю!" — реальный случай, у меня приятель в техподдержке 1С работал, однажды бухгалтер какая-та звонила и спрашивала, что значит такое сообщение.
Ты мне это рассказывать будешь?
V>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение,
Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение? Ты же говоришь о решении "на самом высоком уровне", чтобы в одном параметре реестра было включено чуть больше единичек, чем это было нужно. Где тут архитектура?
V>утвержденное на всех уровнях вполть до самого высокого, часть презентации системы. Почему утвердили — потому что о безопасности ВООБЩЕ не думали. То есть при проектировании системы безопасность просто не принималась во внимание. Отсюда все проблемы.
О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают.
Не забывай, что ты говоришь здесь об архитектурном решении 11-ти летней давности, которое в последующих версиях было успешно устранено.
KV>Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го.
То есть семерка вышла 5-6 лет назад? (Ты же про семерку свои хвалебные песни поешь)? Наверное, я все-же твой бред.
KV>Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин).
Бедолага.
V>>Только судо это делает лучше. Объяснить почему? KV>Будь так добр.
Потому, что судо — это явное желание пользователя. А юак — это окошко с вопросом. Если завтра найдут способ имитировать окошко юак — пользователь будет радостно жамкать "ДА!!!", разрешая мальвари делать свои вредные дела — потому, что его уже задолбали этим вопросом.
V>>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, KV>Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение?
Нет, это решение презентационного уровня. Оно еще выше. Я думаю, его лично Гейтс утверждал.
KV>О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают.
То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное?
KV>Называй себя как хочешь — твое право. Но зачем ты пытаешься увести разговор в сторону? Ты заявил, что:
KV>
V>>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
KV>Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка?
Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан. Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все.
KV>Зато с более широким и статистически значимым углом обзора.
Пойди и скорее возьми с полки пирожок!
KV>Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак.
Я уже писал десять раз, что за гтксудо надо убивать. Это решение сравнимое с автораном по идиотизму — а может и более вредное даже, с идеологичекой точки зрения. ЮАК ЛУЧШЕ, чем гтксудо, но хуже, чем нормальное судо.
KV>Да, ты прав насчет бреда. Только он не мой, он самобытный, судя по всему.
Самобытного бреда не бывает.
V>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>У тебя какой-то пунктик на авторан, да?
А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
Здравствуйте, Vamp, Вы писали:
KV>>Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка? V>Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан.
Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор. Но с чего ты решил, что система должна быть защищенной из коробки? Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
V>Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все.
Я лучше знаю, что я имею ввиду. Но спасибо за подсказку, хотя и бесполезную.
KV>>Зато с более широким и статистически значимым углом обзора. V>Пойди и скорее возьми с полки пирожок!
Так что там случилось с тем, что ты "вижу своими глазами" (с) ?
KV>>Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак. V>Я уже писал десять раз, что за гтксудо надо убивать. Это решение сравнимое с автораном по идиотизму — а может и более вредное даже, с идеологичекой точки зрения. ЮАК ЛУЧШЕ, чем гтксудо, но хуже, чем нормальное судо.
Тем не менее гтксудо в линуксе есть, и что, это делает его менее защищенным?
V>>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>>У тебя какой-то пунктик на авторан, да? V>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени.
Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
V>Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
Причем тут basic? В 7 авторан есть только для дисков типа DRIVE_CDROM и отключается политикой на раз. Расширить его на другие типы приводов нельзя.
KV>Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор.
Не ты ли тут про "домохозяек" говорил? Домохозяйка должна в реестр лазить? А главное, что ты просто об этом не знаешь. Я когда перелез в 98 на икспи просто не знал, что там есть авторан на флешке. И моментально словил какую-то дрянь.
KV>Но с чего ты решил, что система должна быть защищенной из коробки? Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
Я не знаю, правду ли ты сейчас сказал, но если это правда — то безусловно, убунта — отстой.
V>>Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все. KV>Я лучше знаю, что я имею ввиду. Но спасибо за подсказку, хотя и бесполезную.
Наверное лучше. Только свое знание ты тщательно маскируешь, говоря то одно, то другое, то говоря о преимуществах семерки, то упоминая, что система защищенная 6 лет — вот и приходиться догадываться, что ты маскируешь под этим набором слов и утверждений.
KV>>>Зато с более широким и статистически значимым углом обзора. V>>Пойди и скорее возьми с полки пирожок! KV>Так что там случилось с тем, что ты "вижу своими глазами" (с) ?
Ничего не случилось. Как видел своими глазами, так и вижу.
KV>Тем не менее гтксудо в линуксе есть, и что, это делает его менее защищенным?
В линуксе гтксудо нет. Гтксудо есть в убунте.
KV>Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
Приведи пример. Только все-таки признай сначала, что с автораном сели в лужу. А то некрасиво получается.
KV>Причем тут basic? В 7 авторан есть только для дисков типа DRIVE_CDROM и отключается политикой на раз. Расширить его на другие типы приводов нельзя.
"Отключается на раз" — в топку. Вопрос — по дефолту включен? Или задается ли вопрос при первом втыкании диска, типа — авторан включаем?
Здравствуйте, kochetkov.vladimir, Вы писали:.
KV>>>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"? M>>В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее. KV>Несколько раз в месяц только в ядре — это мало? http://secunia.com/advisories/search/?search=linux%20kernel
Да, мало. Так как большинство ошибок — в драйверах.
Для Винды такую статистику вообще собрать затруднительно, так как драйверы поставляются третьими сторонами. И большинство этих драйверов — полное Г. из-за того, что вендорам плевать на их качество. Показательна реакция разработчиков Линукса на драйвера в staging-каталоге (которые как раз и являются драйверами от вендоров, которые приводятся в нормальный вид) — при загрузке staging-драйверов на ядро ставится флаг TAINT_CRAP.
Я даже лично находил уязвимости в Винде. На моём предыдущем ноуте для работы с hotkey'ями использовался специальный драйвер, к которому прилагалась глючноуродская софтина. Ну и я решил пореверсить как оно работает. Нашёл, что софтина поллит драйвер через IOCTL, просниффил пакет в отладчике. Попробовал сделать так же из своего кода — BSOD из-за переполнения буффера в драйвере. Так как я неправильно прописал размер пакета.
Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, kochetkov.vladimir, Вы писали:
C>>>Тщательное разделение привилегий. KV>>Чем в винде оно менее тщательное? C>Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру.
А кто сказал, что там должны быть прямые аналоги, чтобы обеспечить аналогичный уровень защищенности? Функции всего, перечисленного тобой (касающиеся безопасности) реализованы в винде иным образом, только и всего
C>>>И нежелание использовать полурабочие решения. KV>>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь? C>Разработчиков Линукса.
Ты говоришь о каких-то конкретных полурабочих решениях, или так, абстрактно?
C>>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух? C>Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру.
Полноценную — по каким критериям? Если лень писать — дай плс ссылку, где можно почитать конкретно об этом.
C>>>который сделан не для анального изнасилования пользователей DRM'ом. KV>>Про идеологию мне сейчас общаться неинтересно, это не имеет ни малейшего отношения к безопасности. C>Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности.
Ну вот, опять домысел без какой-либо конкретики Ну вот скажи, тебе было тяжело привести статью того же мышъха (http://www.insidepro.com/kk/163/163r.shtml) и тем самым закрыть этот вопрос? Почему я должен тебе помогать?
Впрочем, эта статья лишний раз подтверждает сказанное мной о winx64
C>Тебе уже про смехотворность твоих доводов сказали.
Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему). У тебя, по крайней мере, нормальные аргументы появились. Но, судя по оценкам, вы немножко в меньшинстве, вообще-то.
C>Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса?
Их отсутствие обусловлено отнюдь не более высокой защищенностью этой системы. Я в исходном посте написал чем.
C>>>Зачем домохозяйке конфигурировать SELinux? KV>>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки? C>Да. А какие проблемы?
Отложим разговор о дефолтной конфигурации SElinux до понедельника, ок? У меня сейчас линуха под рукой нет, чтобы предметно общаться на эту тему, а впустую я тут уже и без того натрепался
C>Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер.
Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.
Здравствуйте, Vamp, Вы писали:
C>>Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер. V>Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.
Там и переполнения есть. Просто особо никто не искал их пока целенаправленно. Как бы, в драйверах NVidia внутри целый полномасштабный компиятор есть.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Чем в винде оно менее тщательное? C>>Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру. KV>А кто сказал, что там должны быть прямые аналоги, чтобы обеспечить аналогичный уровень защищенности? Функции всего, перечисленного тобой (касающиеся безопасности) реализованы в винде иным образом, только и всего
Не особо. Скажем, в Линуксе сейчас если мне надо сделать какую-то программу, осуществляющую административные действия, то я делаю backend на D-BUS'е. Аутентификация — с помощью ConsoleKit, плюс PolicyKit (с централизованными политиками) для авторизации. Ну и фронтэнд как обычное приложение, возможно защищённое AppArmor'ом. Всё очень просто и удобно.
В Винде нет подобных аналогов. Я могу сделать out-of-process COM-сервер, для него есть COM Security: http://msdn.microsoft.com/en-us/library/ms693319%28v=VS.85%29.aspx Однако, она жутко неудобная на практике. Скажем, политики и ACLи управляются не централизованно. Да и вообще, оно всё очень жуткое. Ещё там есть прикольная архитектурная уязвимость, что клиент может заставить приложение вечно висеть в памяти, просто не сбалансировав вызовы LockServer (жутко достаёт при отладке).
Так что большинство приложений в Винде не заморачиваются разделением привилегий и тупо повышают привилегии для всего приложения.
C>>>>И нежелание использовать полурабочие решения. KV>>>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь? C>>Разработчиков Линукса. KV>Ты говоришь о каких-то конкретных полурабочих решениях, или так, абстрактно?
Да, о конкретных полурабочих решениях.
C>>>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>>>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух? C>>Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру. KV>Полноценную — по каким критериям? Если лень писать — дай плс ссылку, где можно почитать конкретно об этом. http://en.wikipedia.org/wiki/PaX — тут неплохо описано.
C>>Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности. KV>Ну вот, опять домысел без какой-либо конкретики Ну вот скажи, тебе было тяжело привести статью того же мышъха (http://www.insidepro.com/kk/163/163r.shtml) и тем самым закрыть этот вопрос? Почему я должен тебе помогать?
Я думал, что уже все читали "Bypassing PatchGuard on Windows x64".
C>>Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса? KV>Их отсутствие обусловлено отнюдь не более высокой защищенностью этой системы. Я в исходном посте написал чем.
Роутеров с Линуксом — уже примерно столько же, как и машин с Windows.
C>>>>Зачем домохозяйке конфигурировать SELinux? KV>>>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки? C>>Да. А какие проблемы? KV>Отложим разговор о дефолтной конфигурации SElinux до понедельника, ок? У меня сейчас линуха под рукой нет, чтобы предметно общаться на эту тему, а впустую я тут уже и без того натрепался
Без проблем.
Здравствуйте, Vamp, Вы писали:
V>Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.
А с каких пор возможность реализации DoS'а перестали считать уязвимостью?
Здравствуйте, alpha21264, Вы писали:
A>Здравствуйте, ЯпонИц, Вы писали:
ЯИ>>p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
A>И охота же некоторым маркетинговые бредни повторять. A>А авторан это следствие распространенности или следствие тупости микрософта?
У меня в убунте авторан включен А в висте отключен Причем я в настройки авторана не лез.
A>Вопрос не праздный — школа в которой работает моя жена КАЖДЫЙ ГОД имеет эпидемию rawmon.exe A>с начала учебного года и до его конца. В этом году будет переход на Линукс. A>Эпидемия повторится? Делаем ставки.
Так как .exe не запустятся на линуксе без wine — то врядли.
Здравствуйте, hattab, Вы писали:
H>Здравствуйте, ЯпонИц, Вы писали:
ЯИ>> E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
ЯИ>> KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
ЯИ>> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
H>Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
В том то и дело что сижу каждый день в убунте. И для меня эта ОС лучше виндовса в 95% случаев. Но ведь не это является причиной отсутствия вирусов, у меня и в винде их нет. Сижу и там, и там с настройками по дефалту, делаю обновления каждый раз как о них сообщит система, не запускаю все подряд, не захожу на подозрительные сайты.
Может конечно под линуксом я и мог бы заходить куда угодно, запускать любой экзешник в вайне, зная что дальше вайна вирус не уйдет, но разве это много скажет о защищенности линукса?
Здравствуйте, ononim, Вы писали:
O>Кстати по той же логике, если сейчас убрать (стереть из памяти и интернета) накопленный опыт программирования под винду, оставив один только мсдн — софт под винду станет гораздо секурнее.
А что, в МСДН уже стали давать примеры без ошибок?
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> ЯИ>> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
ЯИ> H>Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
ЯИ> В том то и дело что сижу каждый день в убунте. И для меня эта ОС лучше виндовса в 95% случаев. Но ведь не это является причиной отсутствия вирусов, у меня и в винде их нет. Сижу и там, и там с настройками по дефалту, делаю обновления каждый раз как о них сообщит система, не запускаю все подряд, не захожу на подозрительные сайты. ЯИ> Может конечно под линуксом я и мог бы заходить куда угодно, запускать любой экзешник в вайне, зная что дальше вайна вирус не уйдет, но разве это много скажет о защищенности линукса?
Я вообще-то ответил на твою фразу о высоком пороге вхождения в Линукс
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> H>Я вообще-то ответил на твою фразу о высоком пороге вхождения в Линукс
ЯИ> А, извиняюсь, не так понял
ЯИ> Хотя порог вхождения все ещё до сих пор выше.
Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
Здравствуйте, hattab, Вы писали:
H>Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
В том, что многие вещи не так хорошо оттестированы как хочется. Вот сегодня прилетело, новое ядро, сказал обновить, а оно чего-то исходники ядра обновлять не стало (чего-то прописать забыли). Из-за этого не собрался автоматом nvidia модуль для ядра и иксы не стартовали. Ну я просто установил хедера, и загрузил модуль, а Домохозяйка, врядли даже с помощью рабочего ядра предыдущей версии не загрузится из груба.
И такое, к сожалению, не такая уж и редкость.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, master_of_shadows, Вы писали:
__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему).
__>Да ну? Ты так и не ответил на мой пост про хохмы: http://www.rsdn.ru/forum/flame.comp/3944126.1.aspx
Ты в первом же предложении написал мне там, что я слишком серьезен. Соответственно, я отнесся к твоему остальному сообщению с юмором и дальше не читал
__>Ты вообще ничего конкретного про именно те сплоиты не написал, всё общими словами... В первом своём посту ты привёл как пример "сплоиты" под Линух. Я залез ради интереса, и что же я там увидел? Цырк на дроце. Либо не написанные сплоиты для Линух черех железяку, при этом под Вин они уже есть и рабочие. Либо сплоиты от 2003 года. Либо для 3rd party софта: Анрил сервер, либо для ВмВаре. При том что для ВмВаре сплоит ну никак не может быть закрыт ОС. Ибо дыра в эмуляторе, позволяющая в нём делать всё что угодно. Не затрагивая хост систему. Это равносильно дыре в калькуляторе позволяющей делать 2х2=5. __>Дальше, извини, я копаться не стал. Всё таки это твой аргумент, а не мой. Видно только одно, что __>
__>мама дорогая, да там полный набор...
__>Мягко говоря преувеличение.
Потом я тебе привел массу других. Чем не устраивают они?
Здравствуйте, dr.Chaos, Вы писали:
C> H>Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
C> В том, что многие вещи не так хорошо оттестированы как хочется. Вот сегодня прилетело, новое ядро, сказал обновить, а оно чего-то исходники ядра обновлять не стало (чего-то прописать забыли). Из-за этого не собрался автоматом nvidia модуль для ядра и иксы не стартовали. Ну я просто установил хедера, и загрузил модуль, а Домохозяйка, врядли даже с помощью рабочего ядра предыдущей версии не загрузится из груба.
Это может указывать на недостаточную проработанность, и с этим я вполне себе согласен, но ни как не указывает на высокий порог вхождения. Когда говорят о высоком пороге, обычно подразумеваются вещи которые новичку приходится преодолевать изо дня в день. Скажем, когда диски нужно было руками монтировать это несомненно было сложной операцией для хоум юзера. Когда все конфигурирование сводилось к правке текстовых конфигов это тоже было сложно.
Теперь на счет проработанности. От ошибок не застрахован никто. Пример из жизни. Неделю назад звонит мне знакомая, которой я помогал купить компьютер и настроить ОС (XP SP3), жалуется, что у нее все сломалось. Прихожу, а там Винда жалуется на невозможность загрузки hal.dll. Устраиваю допрос с пристрастием, чего делала, куда лазала. Включила, говорит, скачалось какое-то обновление и потребовало перезагрузиться. Перезагрузки не получилось. Я восстановил hal.dll с дистрибутива — не помогло, зависание в момент загрузки. Со свежайшего лайв-сиди Dr.WEB проверил диск — ни одного вируса. Систему пришлось ставить с нуля (ставиться поверх она не стала), никакой софт, никакие настройки сохранить не получилось.
Здравствуйте, hattab, Вы писали:
H>Это может указывать на недостаточную проработанность, и с этим я вполне себе согласен, но ни как не указывает на высокий порог вхождения. Когда говорят о высоком пороге, обычно подразумеваются вещи которые новичку приходится преодолевать изо дня в день. Скажем, когда диски нужно было руками монтировать это несомненно было сложной операцией для хоум юзера. Когда все конфигурирование сводилось к правке текстовых конфигов это тоже было сложно.
Ну другой пример: диски которые не прописаны в fstab монтируются через D-Bus, так вот они монтируются не от имени пользователя, который инициировал это мероприятие, так вот dolphin при копировании на ntfs-ный диск ругается, что не может изменить права файла, но при этом копирует.
H>Теперь на счет проработанности. От ошибок не застрахован никто. Пример из жизни. Неделю назад звонит мне знакомая, которой я помогал купить компьютер и настроить ОС (XP SP3), жалуется, что у нее все сломалось. Прихожу, а там Винда жалуется на невозможность загрузки hal.dll. Устраиваю допрос с пристрастием, чего делала, куда лазала. Включила, говорит, скачалось какое-то обновление и потребовало перезагрузиться. Перезагрузки не получилось. Я восстановил hal.dll с дистрибутива — не помогло, зависание в момент загрузки. Со свежайшего лайв-сиди Dr.WEB проверил диск — ни одного вируса. Систему пришлось ставить с нуля (ставиться поверх она не стала), никакой софт, никакие настройки сохранить не получилось.
В целом, я с тобой согласен, просто больше мелочей которые придётся допиливать самому, напильником по любому придётся лучше владеть .
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, hattab, Вы писали:
H>Я по своему опыту (а я с Линуксом пока на уровне того хомячка) не могу сказать, что для обычной работы в Линуксе требуются какие-либо допиливания. Кстати, я только на Линуксе научился пользоваться графическим файл-менеджером Вот виндовым Explorer'ом пользоваться до сих пор не могу (только Far), а убунтовым Наутилусом запросто, благо двухпанельность поддерживается.
Я с Убунтой уже 3 года, периодически возникает необходимость, хотя я опять же юзаю Кеды, они может и меньше вылизаны .
С теми же icc-профилями вроде все их поддерживают, а единства и понятности нет. С печатью, вроде и дрова есть, вроде и пачатает, но... Какая-нить хрень да вылезет. Может и под виндой так ибо я уже 3 года туда ничего нового не ставлю и не экспериментирую. Про Убунту могу сказать точно: потихоньку пилят.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, dr.Chaos, Вы писали:
C> Я с Убунтой уже 3 года, периодически возникает необходимость, хотя я опять же юзаю Кеды, они может и меньше вылизаны .
Так я и говорю, то, что недоработки есть, так это есть везде, но порог вхождения этим не определяется.
Здравствуйте, hattab, Вы писали:
H>Так я и говорю, то, что недоработки есть, так это есть везде, но порог вхождения этим не определяется.
Вообще, косвенно влияет. Больше недоработок — больше времени на поиск ворк эраунда и т.п. Я у меня не очень сейчас со временем, если хочешь могу привести примеры в личной переписке.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, dr.Chaos, Вы писали:
C> H>Так я и говорю, то, что недоработки есть, так это есть везде, но порог вхождения этим не определяется.
C> Вообще, косвенно влияет. Больше недоработок — больше времени на поиск ворк эраунда и т.п. Я у меня не очень сейчас со временем, если хочешь могу привести примеры в личной переписке.
Или ждать, пока гром не грянет?
.
http://secunia.com/advisories/search/?search=linux%20kernel
).
Остальное даже лень комментировать, текст полон домыслов и необоснованных утверждений 
