A Linux nem biztonságosabb, csak nem foglalkoztak vele

Titkosítás, biztonság, privát szféra

"Nem volt érdeklődés az Ubuntu iránt," - mondta Terri Forslof, annak a 3Com-hoz tartozó Tippingpoint-nak az igazgatója, amely a CanSecWest-en megrendezésre került PWN to OWN verseny pénzdíjait ajánlotta fel. A vezető szerint az ilyen versenyek nem tekinthetők az operációs rendszerek relatív biztonságossági fokmérőinek.

"Csak azért, mert a laptop - a Sony, amely az Ubuntu 7.10-es Linux disztribúciót futtatta - érintetlen maradt, nem jelenti azt, hogy ez az operációs rendszer bármilyen módon is biztonságosabb lenne a Mac OS X-nél, vagy a Microsoft Windos Vista-nál, amelyek mindegyike elesett a támadások során". - írja a ComputerWorld.

Forslof szerint az Adobe Flash sebezhetőség, amelyet [Shane] Macaulay kihasznált a Vista SP1-en, multiplatformos, így érinti a Mac OS X-et és az Ubuntu-t is.

A cikk itt olvasható.

Ez a Terri Forslof érdemtelenül kap nagyon sok pénzt, mert okos ember nem lehet az biztos. Az egyszerű magyar paraszt legalábbis azt gondolja, hogy leginkább nem az operációs rendszer motiválja a versenyzőket, hanem a nyeremény. Ebből pedig az következik, hogy a rendezők magukat okolhatják és a Sonynak kell szégyellnie magát, mert úgy tűnik, hogy néhány ezer dollárért és egy ócska Sony laptopért senki nem áll neki linux-ot feltörni. :)

Ha egy Ferrari-t lehetett volna elvinni az Ubuntu feltörése esetén és mindenki csak Ubuntut támadott volna, akkor ez a briliáns elme azt mondta volna, hogy a Vista és a Mac OSX senkit sem érdekel?

Meg egyébként is, minek szervez ilyen versenyeket a 3com érdekeltségi körébe tartozó TippingPoint ha a 3com szerint az egész hülyeség és semmilyen következtetés levonására sem jó?

( gUHU | 2008. 04. 02., sze – 19:39 )

Hülye kérdés, de nem az a nagyobb prioritás - a biztonság egyébként is hipermagas prioritásán túl, hogy az adott hibára mennyi idő alatt jön megoldás?

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

( trey | 2008. 04. 02., sze – 19:41 )

Úgy tűnik túl erős reklám lett ez az egész verseny az Ubuntu-nak. :)) Vagy csak nekem tűnt a cikk vége afféle magyarázkodásnak, aholis azt ecsetelték, hogy a Windows valójában milyen kemény volt, és milyen jól állta a sarat a kifinomult anticrackz0rr technikáknak köszönhetően, amiket a redmondi fejlesztők jól beleinnováltak.

--
trey @ gépház

...kiveve, hogy egy szimpla user contextje alatt alatt futo applikacio exploitjabol hogyan is vette at e gep iranyitasat a cuna gonoc craxor...

persze ha nem szimpla user contextjeben futott az a bongeszo amivel megnyitotta az exploitot tartalmazo oldalt, akkor egyetertunk, de ilyen szabalyoknak sok ertelme nem lett volna.

akkor a windoz explorer es a notepad mint exploit is jatszott? odaulok, kattintokk parat es voila, elolvastam a fajlt.
Mondjuk ha ugy van ahogyan te mondod akkor megertem hogy forslof ur is magyarazza a bizonyitvanyt, de alapbol nem tetelezem fel roluk hogy ennyire kutyautok lennenek...
ha viszont azok, akkor ideje lenne kiirni azt a versenyt ahol barmilyen kozkezen forgo nepszeru alkalmazast fel lehet telepittetni majd szimpla userkent hasznalni es administratori jog megszerzese a cel.

He? Úgy gondolnám, hogy a játék arról szólt, hogy a géphez nincs fizikai hozzáférésed. Először távolról zúzhattad, aztán meg kérhettél interakciót (a gép elé ültetett embernek adhattál galvanikusan leválasztott kapcsolaton át utasításokat, amelyek értelemszerűen nem tartalmazták a lehetőségét az érintett fájl elolvasásának és hozzád akármilyen módon való eljuttatásának).

nekem nem ugy tunik mintha en kezdtem volna veled kommunikalni: trey es bastya elvtars hozzaszolasa elozi meg az en elso hozzaszolasomat ebben a threadben. lathatoan te erezted ugy hogy kommunikalni szeretnel velem ebben a temaban, szoval a befejezese is roppant egyszeru: fogod magad es nem reagalsz arra amit irok es mar be is van fejezve.

Viszonylag egyszerű belátni, hogy a kliens-oldali hiba (Safari, Flash) kihasználásán kívül nem volt lokális privilégium emelésre alkalmas bug kihasználás, hisz akkor az is szerepelne a ZDI Upcoming Advisories listában a legutóbbi Adobe/Apple sebezhetőségekkel megegyező dátummal...

Javarészt erről szól manapság az IT Security. HIPS megoldások az operációs rendszerekhez. Ha PaX bekerült volna a kernelbe, akkor a Linux fényévekkel vezetne... A jelenlegi helyzetben viszont nem érdemes arra alapozni, hogy az Ubuntu azért maradt talpon, mert annyira jó lenne PaX nélkül is ezen a téren.

Egyik mondat végén sem volt kérdőjel. Csak hangosan gondolkodtam, hogy született egy eredmény egy versenyen, lett ami lett, majd utána egy fizetett szagú helyreigazításszerűség, renomé visszaállítás és oknyomozás elkezdte magyarázni, hogy mi is van, erősen rágyúrva, hogy a Microsoft az elmúlt időben milyen kiváló munkát végzett.

--
trey @ gépház

( mmark | 2008. 04. 02., sze – 19:46 )

én nem vagyok benne biztos hogy az a flash bug az multiplatformos, mert akkor hamár vitte a vistás laptopot az úriember, vihette volna pluszban az ubuntust, jah és még 5k $
Nem hiszem annyira nem hiányzott neki. (5k $ mindig jól jön).
Bár nem ismerem a verseny pontos szabályzatát, lehet hogy ez nem megengedett, de akkor is.
Az eredeti cikk április 1. Lehet hogy nem gondolta komolyan. :)

a tenyek makacs dolgok am. meg az altalad fenyesre nyalt amerikai szoftvermulti sem tudja megvaltoztatni oket. csak ha meg nem ertesultel volna rola: makkosiksz es picipuha ablakok kilatas elverzett. a linugz meg allva maradt. hopppppa. magyarazd csak. engem mulattatsz vele.

volt ott egy "ha", es meg mindig nem kaptam meg azt az URL-t ami teged igazolna. egyelore a "szerinted" all szemben a "szerintem"-mel A kulonbseg annyi hogy a "szerintem" az azt jelenti hogy en megelolegezem a verseny szervezoinek azt a bizalmat hogy nem olyan felteteleket dolgoznak ki, amikkel tenyleg nincs semmi ertelme az egesznek, "szerinted" meg sikhulye kutyautok dolgoztak ki az egeszet.

Három autóipari óriás vetélkedőt szervez. A célja: bizonyítsd be, hogy az autójukban rendeltetésszerű használat során megdögölhetnek az utasok. Mind.
A három óriáscég versenybe küldött termékei a 200 millió példányban értékesített Volvo S80, a 150 milliós eladásszámú BMW 5 és az Aixam 400, amelyből 100 ezret értékesítettek eddig.

Szerinted a gyakorlatban mennyire eredmenyes a "most lesz.rom a security-t, majd a release elotti 48 oras maraton utolso 10 perceben ugyis eszreveszem, es kijavitom az osszes secholet" cimu tervezesi es implementalasi modszer?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Garantálni semmi sem, de ha a bugok a beta teszt időszak alatt nagyrészt javításra kerülnének, akkor egy beta-ban talált bugból nem lehetne semmire következtetni a végleges kiadás minőségére. Míg általában a felhasználó számára észrevehető bugok nagy részét tényleg javítják a beta időszak alatt, a sechole-t nekem inkább véletlennek tűnik, hogy még a beta időszakban vették észre, hiszen csak speciális adatoknál jelentkezik. Persze ha a beta időszakban, a kiadás előtt a teljes kódot átnézik sechole-okat keresve, akkor nem véletlen, hogy kiszűrik - nem tudom, hogy működik az érintett Minix szoftver fejlesztése.

Semmilyen bug nem "jellemzi" a teljes kod biztonsagi szinvonalat, maximum kovetkeztetni lehet ra ez alapjan (pl. ha egy teljesen alap lame stack overflow van benne trivialis helyen, akkor az valoszinuleg nincs egyedul). Viszont ebbol a szempontbol a beta es a release kozott imho minimalis a kulonseg.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( pippec | 2008. 04. 02., sze – 20:22 )

"... csak nem foglalkoztak vele." Vagy kevesebben vannak, akik értenek Linuxhoz, ÉS még foglalkozni is akartak volna vele.
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

( skynetpro | 2008. 04. 02., sze – 20:40 )

eddig is tudtuk, hogy a linuxos szervereket azért nem törik fel, mert egyrészt senkit nem érdekelnek, másrészt pedig elenyésző az elterjedésük, szóval ez a verseny bebizonyította, hogy ez desktopon is igaz

( flimo | 2008. 04. 02., sze – 21:14 )

Hát nem tudom, de egy versenyben a könnyebb utat választják a nehezebb helyett, ergo amit nyilatkozott az nem épp az Ubuntu ellen szól.

Egy ego-versenyben, amelyre az emberek elsősorban azért neveznek (még a szóban is benne van :), hogy a nevük ismert legyen (mellesleg kapnak valamicske pénzt is) nem a legkönnyebb utat választják, hanem azt, amelyik a legnagyobb elismeréssel jár.

A hegymászók is mehetnének helikopterrel. :)

A Mac OS X-et törték fel elsőként. Az a félszenzáció? Miért nem mindenki a Windows-ra gyúrt? Hiszen az a legnagyobb szenzáció. Hülye volt ez a Miller, hogy fos pénzért feltörte az OS X-et és arra fókuszált, ahelyett, hogy inkább már otthon is a Windows-ra készült volna.

--
trey @ gépház

Azt hiszem vagyunk mindketten annyira fantáziadúsak, hogy szinte bármilyen kérdésre tudunk valamilyen választ fabrikálni.
Most mondjam azt, hogy a Windows SP1 default telepítésben ezekszerint nincs hiba, amit a user "lépre csalásával" ki lehetne távolról használni? Ez egészen biztos hülyeség.

( BaT | 2008. 04. 02., sze – 21:32 )

Akik szerint csak azért nem vitték el az Ubuntus laptopot, mert az nem érdekel senkit, akkor hogy magyarázza azt, hogy a másik 2 elvitele után sem vitte el senki az Ubuntus díjat? Azzal is lehet nevet szerezni, legalábbis többet, mintha semmit nem visz el az ember.

bat, vagy az lehet, amit "Terri Forslof, annak a 3Com-hoz tartozó Tippingpoint-nak az igazgatója, amely a CanSecWest-en megrendezésre került PWN to OWN verseny pénzdíjait ajánlotta fel" mondott, vagy amit caro, hogy féltek, hogy gnash van rajta és visszanyal, vagy lemegy a bubuntu alvóba, és kizárják őket a versenyből, vagy nem akarták, hogy fájjon a kisdelfinnek az akváriumban

( uid_1526 | 2008. 04. 02., sze – 21:44 )

Ez egy verseny volt: ki tudja az adott feltételekkel hamarabb megtörni a rendszert. Azon a rendszeren próbálkoztak, amin gyorsabb sikert reméltek, ami meg reménytelennek látszott, azt hagyták és nem foglalkoztak vele. Lehet hogy rosszul látom, de nekem ez lenne a stratégiám ilyen esetben.

( Kormoraan | 2008. 04. 02., sze – 21:51 )

Én azon röhögök, hogy "Terri Forslof, annak a 3Com-hoz tartozó Tippingpoint-nak az igazgatója, amely a CanSecWest-en megrendezésre került PWN to OWN verseny pénzdíjait ajánlotta fel" rendez egy pénz és vasdíjas nagyonkomoly aduászhekker versenyt, majd amikor nem tetszik neki az eredmény, mert megfúrták a hőnszeretett almáját közli, hogy ilyen versenyek nem tekinthetők az operációs rendszerek relatív biztonságossági fokmérőinek.

Akkor kérdem én:
Mi a frászfenének kellett megrendeznie az egészet?

( gd | 2008. 04. 02., sze – 22:53 )

A Safari bug nem hordozható? Safari már van Windowsra is, és az azonos motorra épülő böngészők (persze a bug lehet, hogy nem ott van) Linuxra is.

( Coornail | 2008. 04. 03., cs – 00:07 )

Copypasta:
"Nem volt érdeklődés a laptop iránt..."

( noss | 2008. 04. 03., cs – 00:17 )

A Sony VAIO nem rossz, csak a Fujitsu márkásabb
vagy
A Linux nem biztonságosabb, csak nem kompatibilis a Sony VAIO-val

"Forslof szerint az Adobe Flash sebezhetőség ... multiplatformos, így érinti a Mac OS X-et és az Ubuntu-t is."
fúú, ez az ember tudhat valamit... :O

( Nerdman | 2008. 04. 03., cs – 01:35 )

Terri Forslof magyarázkodása engem nem győzött meg teljesen, nem hiszem, hogy megfelelően vonta le a tanulságokat.

Elősször is, a Mac OS X-et Charlie Miller csapata két perc alatt törte fel, de hónapokig készültek rá.
"We decided that we would try the Mac, just because it was the easiest target. We've sort of looked at all these guys in the past, and every time we look at the Mac, we find something. When we've look at the other systems, we've usually not been so lucky. So we figured we go with what we've found easiest in the past." - Charlie Miller nyilatkozata a Linux.com-nak. Ezzel a kitétellel, mármint, hogy a Mac OS X a legkönnyebb célpont Shane Macaulay is egyetértett ("I think it might be").

Macaulay nyilatkozata szerint azért választotta a Vista-t, mert korábban szerződéses munkaviszonyban volt a Microsoft-al, és sokkal ismerősebbek neki a termékei.

Forslof korábban még így nyilatkozott:
"Although several attendees tried to crack the Linux box, nobody could pull it off" "I was surprised that it didn't go,"

A következtetés, hogy az Ubuntu nem került az érdeklődés középpontjába stimmel, az okok azonban különböznek a Forslof által megnevezett okoktól.

Én se vonnák le ebből a versenyből komoly következtetést az operációs rendszerek biztonságára nézve, de azért képzeletbeli sorrend fellálítható (úgy, hogy az Ubuntu fél évvel ezelőtt jelent meg, és nyílt forráskódú, szemben a két vetélytársával):
- Ubuntu 7.10
- Windows Vista SP1
- Mac OS X 10.2

A Mac OS X biztonságáról szóló mítosz pedig ismét megdőlt. Cáfolva! :D Ha még elterjedt is lenne a Mac OS X használhatatlan lenne.
A Windows Vista SP1 bármilyen biztonságos is, egyrészt most adták ki, másrészt meg nagyon elterjedt (mint Windows operációs rendszer, de azért XP-t még többen használnak), emiatt egy Windows-os desktop felhasználó szinte soha nem érezheti magát igazán biztonságban.

Úgy tűnik relatív biztonsági mutatók is vannak, azokban pedig egyértelműen az Ubuntu szerepel a legjobban.
_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

-1

"Ezzel azt akarod mondani, hogy az Ubuntu csak azért biztonságos, mert nem elterjedt?"

Nem csak azért, de azért is (habár saját véleményem szerint ez sem igaz), mindenesetre magára az operációs rendszer biztonságára nézve nem vonnák le a versenyből következtetéseket, sem pro, se kontra.
Az általam említett relatív biztonsági mutatókat user-level security-nek kell érteni.

"azon tul, hogy a biztonsag pont forditva szokott korrelalni a nepszeruseggel: minel nepszerubb, annal elobb kiderul a bugok annal nagyobb szazaleka."

Nem feltétlenül. Ahelyett, hogy a Hup.hu mélyen tisztelt fórumozói messzemenő következtetéseket vonnának le olvassák el az összes biztonsági jelentést, összehasonlítást amit találnak a témában (meg nézzenek utánna a Linux és a Vista felépítésének alapjainak), kezdjék mondjuk ezekkel: http://www.theregister.co.uk/security/security_report_windows_vs_linux/
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
http://www.linuxinsider.com/rsstory/55722.html
http://www.esecurityplanet.com/views/article.php/3665801

Elvileg egy szakmai fórumon vagyunk, mégis olyan ezt a topikot olvasni, mintha a Blikk fórumán (van neki egyébként? :D) csevegnénk arról, hogy most akkor a Linugz vagy Viszta.

_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

Ez igy van. Csakhogy a vegfelhasznalot nem *csak* az erdekli, hogy mennyi hiba van a rendszerben, hanem az, hogy adott rendszer hasznalatakor mekkora esellyel lesz az o rendszere az aldozat (Gondolom ez az, amire Nerdman relativ biztonsagossaggal celzott).

Peldaul eleg csak az autolopasokra gondolni. Lehet venni egy nepszeru markat es tipust, aztan felspecizni minden vedelmi felszerelessel, hogy ne tudjak ellopni. Vagy lehet venni egy olyan tipust amit nagyon nehezen lehet ertekesiteni illegalis forrasbol, ezert eleve kevesebb probalkozas lesz (egyreszt azert, mert nehez az ertekesites, masreszt azert, mivel a nehez ertekesites miatt eleve nincsenek raallva erre a tipusra, es nincsenek "begyakorolt, tuti technikak"). Senki se vitatja, hogy "de ha jon egy profi, akkor az elviszi", pusztan arrol, hogy az aldozatta valas kockazatat nem csak a rendszer hibainak csokkentesevel lehet csokkenteni.

+1, azon tul, hogy a biztonsag pont forditva szokott korrelalni a nepszeruseggel: minel nepszerubb, annal elobb kiderul a bugok annal nagyobb szazaleka.

Az, hogy kiderulnek a bugok, az meg nem jelent semmit, mivel azt is kellene tudni, hogy az uj szoftververziokkal (amibol a patchek es hotfixek, automatic update koraban boven van) mennyi uj bug kerul be. Ha az uj verziokkal ugyanannyi bug kerul be, mint amennyi kiderul es kesobb javitjak, akkor a hibak szama allando egy idointervallumot tekintve. (Hogy ez adott termeknel igy van-e, azt termeszetesen en sajnos nem tudom).

A fentiek miatt az az allitas, hogy "a biztonsag forditva korrelal a nepszeruseggel" a dolognak kb. olyan leegyszerusitese, mintha egy Audi R8-ra azt mondanam, hogy 4 kerek, par csavar meg egy kis ontott aluminium.

Nem csak ezert, de ez is hozzajarul. Hogy abszolut mertekben milyen az Ubuntu biztonsaga, azt sajnos nem tudom.

Egyebkent eleg nehez a temarol barmi ertelmeset mondani, amig nincs definialva az, hogy ki mit ert bizonsagon..

Peldaul: adott idointervallum alatti sikeres tomeges vagy sikeres celzott tamadasok szama?

Tomeges = script kiddie nekiall lefuttatni egy scriptet tobb tizezer hostra, hatha talal valamit
Celzott = megbiznak egy profit, aki elemezve az adott rendszert, megprobal bejutni

Az alacsony elterjedtsegu rendszerek hasznalata igenis csokkenti a sikeres tomeges tamadasok valoszinuseget, raadasul az elterjedtseget tekintve a linearisnal nagyobb mertekben.

"Although several delegates tried to crack the Linux box, nobody could pull it off, said Terri Forslof, a manager of security response with TippingPoint. "I was surprised that it didn't go," she said. "

Attól függ, ki kérdezi és az mit akar hallani? ;)

""We decided that we would try the Mac, just because it was the easiest target. We've sort of looked at all these guys in the past, and every time we look at the Mac, we find something. When we've look at the other systems, we've usually not been so lucky. So we figured we go with what we've found easiest in the past." - Charlie Miller nyilatkozata a Linux.com-nak. Ezzel a kitétellel, mármint, hogy a Mac OS X a legkönnyebb célpont Shane Macaulay is egyetértett ("I think it might be")."

Jaj, hát mégis vannak különbségek? :)

--
trey @ gépház

( Kormoraan | 2008. 04. 03., cs – 08:01 )

Nem tudjátok, vajon az Ubuntun volt telepítve az AppArmor?
Tudtommal része a 7.10-nek.

( 2Geza | 2008. 04. 03., cs – 08:04 )

Nem voltak korrektek a szervezok. A BEOS-t, meg a ReactOS-t, vagy a Hurdot is inditani kellett volna. Vajon feltortek volna-e ezeket? (koltoi kerdes)

Előtte ismert volt a résztvevő rendszerek listája. Ha rá lehetett készülni (már pedig ezek szerint rá lehetett) és lett volna a sublótfiókban ezekhez - amiket felsoroltál - valami, amiért lehetett volna kapni 20K, 10K, 5K dollárt + egy notebook-ot, akkor vajon ott hagyták volna? (költői kérdés)

--
trey @ gépház

( buran | 2008. 04. 03., cs – 08:56 )

Gondolom, ugyanazt a sérülékenységet nem lehetett többször kihasználni, és nyilván a Vista SP1 feltörése nagyobb nevet szerzett neki. Szóval ebből a szempontból magyarázható így is a dolog, bár szerintem bullshit.
---
;-(

( ambro | 2008. 04. 03., cs – 09:16 )

Én csak a saját tapasztalataimat tudom leírni. A winfos mentésemet (PQDI) hetente kétszer-háromszor rakom vissza mert megtámadnak, mert trójait, -vírust kaptam és emiatt bedől a rendszer. Pedig a tesztek szerinti egyik leghatékonyabb tűzfel védi a rendszeremet. Azonkívül szintén tesztgyőztes valósidejű vírus és trójai megfogóka is ott ólálkodik a tálca alján, lassítva a rendszeremet. Mégis úgy jönnek be hozzám förkészvadász robotok és betörők mint a déi szél a nyitott ablakon. Ugyanezt egyetlen linuxnál sem tapasztaltam. Ez nálam óriási különbség. Szerintem aki lnagy nyílvánosság előtt kijelenti azt a mondatot hogy "A Linux nem biztonságosabb ..." az vagy hülye, vagy lefizette a picipuha. Harmadik lehetőség szerintem nincs. Az más kérdés, hogy érthető módon a CanSecWest-en a könnyebb és tegyük hozzá nagyobb hírnevet jelentő feladatot választották a jelentkezők. Nyilván a palacsintaevés a völgyben könnyebb mint sziklagörgetés a hegyre. Ennyi.

"Az más kérdés, hogy érthető módon a CanSecWest-en a könnyebb és tegyük hozzá nagyobb hírnevet jelentő feladatot választották a jelentkezők. Nyilván a palacsintaevés a völgyben könnyebb mint sziklagörgetés a hegyre. Ennyi."

"We decided that we would try the Mac, just because it was the easiest target. We've sort of looked at all these guys in the past, and every time we look at the Mac, we find something. When we've look at the other systems, we've usually not been so lucky. So we figured we go with what we've found easiest in the past."

Magyarul:

"Úgy döntöttünk, hogy a Mac-et próbáljuk, mert egyszerűen az volt a legkönnyebb célpont." <-- Ez Charlie Miller mondta, aki felnyomta 2 perc alatt az Apple gépet. Ez az elmélet itt bukik. Ők azt választották, amire a legnagyobb esélyük volt. Semmilyen hírnév nem érdekelte.

--
trey @ gépház

"Semmilyen hírnév nem érdekelte."

+1 Mielőtt a legtöbben nekiállnak megfejteni bagolyköpetből meg tarot kártyákból a győztesek motivációit olvassák el a saját nyilatkozataikat, többek között:

"Miller's says that his motivations for entering Pwn to Own was a mixture of the challenge and the chance to help security. "I like to compete," he says, "and I don't get much of a chance to do so. Also, of course, we have skills that help make things more secure, and here is an opportunity for us to use those skills in a positive manner. If it hadn't been for the competition, we wouldn't have looked for bugs, and this bug wouldn't have got fixed."

Mellesleg:

"You don't enter the competition unless you basically have something," Miller says. "All the people like us who decided three weeks ago to enter, if they didn't find a weak point, they didn't enter, so you don't get a sense of how many people tried and failed. All you know is the people who think they could do it."
_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

ambro
"Én csak a saját tapasztalataimat tudom leírni. A winfos mentésemet (PQDI) hetente kétszer-háromszor rakom vissza mert megtámadnak, mert trójait, -vírust kaptam és emiatt bedől a rendszer. Pedig a tesztek szerinti egyik leghatékonyabb tűzfel védi a rendszeremet. Azonkívül szintén tesztgyőztes valósidejű vírus és trójai megfogóka is ott ólálkodik a tálca alján, lassítva a rendszeremet. Mégis úgy jönnek be hozzám förkészvadász robotok és betörők mint a déi szél a nyitott ablakon. Ugyanezt egyetlen linuxnál sem tapasztaltam. Ez nálam óriási különbség. Szerintem aki lnagy nyílvánosság előtt kijelenti azt a mondatot hogy "A Linux nem biztonságosabb ..." az vagy hülye, vagy lefizette a picipuha. Harmadik lehetőség szerintem nincs."

Ezzel egyet lehet érteni, annak ellenére mondom, hogy nálam korántsem ilyen elkeserítő a helyzet (köszönhetően néhány dolognak), (de még lehet).
Egyszerűen a két rendszert nem lehet (és nem is szabad) összehasonlítani. Sarkítva itt arról van szó, hogy vannak operációs rendszerek, és vannak annak látszó tárgyak. Utóbbihoz értem az összes Win-es szerverterméket is. Az én olvasatomban egy operációs rendszer lehetővé teszi, és elősegíti a munkavégzést, nem pedig gátolja.
Leírtam, sarkítottan fogalmaztam, de a lényeg ez.

-Atis-
Nézd, ezeket a dolgokat nem akarom minősíteni, a fogalmazás bizonyos keretek között mindenkinek a magánügye. A fogalmazással sok esetben nem, de a lényeggel több esetben egyetérthetek akkor is, ha nem jelzem, hogy kifogásolható számomra a megfogalmazás, vagy a helyesírás (persze csak akkor, ha nem elütés, vagy szándékos slendriánság áll mögötte, mert ilyen is lehet).
Ami jelen esetben a dolgok lényegét illeti, azt hiányolom, hogy a legtöbb (pro és kontra) hozzászólás nélkülözi a konkrétumokat, nem tudjuk, hogy saját tapasztalatról van e szó, ha igen, milyenről, stb.
Az én hozzászólásaimból könnyen kiderül, hogy a Linuxot előnyben részesítem más rendszerekkel szemben. Ezt hosszú évek tapasztalatai alapján teszem. A részletekbe itt nem helyénvaló belemenni, de, ha valakit érdekel szívesen elmesélem ezeket.
Ennek a Unix/Linux VS Windows dolognak van bizonyos háttere, és konkrét megjelenési formája egyaránt. Azok akik azt írják, hogy a kettő között nincs különbség, nem jelzik, hogy hol, milyen Win rendszer fut nekik évekig, probléma nélkül. Ezt a saját tapasztalataim alapján nem tudom elképzelni. Azt is leírtam, lehet bennem van a hiba (bár ez természetesen teljesen kizárt :)).
Máshol írtam, hogy vannak a Unix képződmények, volt a novell (most csak a pc vonalról beszéljünk, mert Win se nagyon van másra, tudom Unix igen. És kár lenne elfelejtkezni az OS/2-ről, azzal sincs egy súlycsoportban a Win még most sem, bár már hivatalosan régóta nem támogatja az IBM. Most a kisebb játékosokat hadd ne citáljam.
Más, általam ismert rendszerüzemeltetők hasonló, ha nem markánsabb véleményen vannak. Hallomásból vett, meg a nénike térdekalácsa által látott esetekkel nem foglalkozom, ezért érdekelnének konkrétumok.
Kicsit más, de idevágó dolog, szerintem ennek az egész dolognak a rákfenéje az, hogy az emberek elfogadták, a szoftver az egy ilyen megbízhatatlan dolog (ez egyértelműen az emberek és a Microsoft sara, vagyis leginkább azoké, akik ezt a helyzetet hajlandóak elfogadni). Régen is voltak szoftverhibák, de ilyen súlyos helyzet nem volt, javítócsomag béta???, félkész rendszerek eladása, stb.
Még más, a szoftvernek terméknek kellene lennie (igaz speciális termék lenne), nem pedig műalkotásnak, ez nevetséges.
Ja, hogy ez profit szempontjából nem lenne előnyös? Kérem senki sem mondta, hogy évekig a világ leggazdagabb embereinek szoftvereseknek kell lenniük. (Vegyetek minél több vizet! Nemsokára abban lesz a pénz).

az a baj, hogy egy ilyen embernek, mint a fenti, felesleges tényeket felhozni, mert akkor is csak "winfos" marad neki a windows
kilométerről látszik, hogy még egy ilyen egyszerű szart se bír elüzemeltetni, otthon, magának
erről a kék képernyőről sem bírnak leszokni a linugzosok - tényleg komolyan azt gondolják, hogy ha egy napig be van kapcsolva egy windowsos pc, akkor 3-4 bsod-dal találkoznak? ráadásul még terjesztik is ezt a marhaságot...
kurvára nem fűződik érdekem hozzá, hogy a windows mellett érveljek, de ezeket a mérhetetlen butaságokat képtelen vagyok szó nélkül hagyni

-Atis-

Való igaz rengeteg butaság hangzik el minden oldalról, de én egyszerűen kiváncsi vagyok, mivel a saját tapasztalataim erősen az egyik oldal felé húznak, tolnak, stb.

Az előző két hozzászólásomból a lényeg kideríthető. Ezt itt is kiegészítem annyival, hogy valóban nem érdekel, ki, mit használ. Legyen az bármi, váljék kedves egészségére. Örülök, ha sikereket ér el az adott rendszer használatával, legyen az bármi is.
Viszont amit én használok, azt én fogom kiválasztani. A nagyobbacska baromságokkal lehet fel tudnak még húzni, de igyekszem ezen változtatni, mert csak feleslegesen idegesíteném magam.

Ami miatt mégis érdeklődöm, az egyfajta tapasztalatcsere.
Szélesíteni akarom a látókörömet :)
(tudom Mabel, a kerékpár szélesíti) :-).

Te lehetsz az az ember, aki leáll vitatkozni a szociológussal, hogy márpedig az nem úgy van, hogy az amerikaiak puritán kulturális alapjaikból kifolyólag sokat dolgoznak a munka felértékeltsége miatt, mert te voltál bizony amerikában két hetet, és láttad a ryans konyhájában, hogy ott csak a bevándorlók dolgoznak keményen. És ne mondják már neked, hogy Japán a világ legbiztonságosabb modern állama, mikor ott vannak a jakuzák, tömegesen öngyilkosak, és az összes filmjükben fröcsög a vér!

Namost a te személyes tapasztalatod kb. nem ér semmit piaci léptékkel, hacsak nem valami bazi nagy géppark üzemeltetését vezeted 5-10 éve, vagy esetleg sok ügyféllel bíró szekuriti cégnél, mindkét esetben erőteljesen diverzifikált, heterogén rendszerekkel.

Mert ezek az emberek régóta azt mondják, hogy a szoftverek bár egyre komplexebbek, a sokkal tudatosabb tervezés és implementációk miatt a szoftverek ma nagyságrendekkel magasabb biztonsági szintet képviselnek, mint 10 évvel ezelőtt, és a behatolások megvalósítása is egyre nehezebb ezeken a védelmi vonalakon keresztül, ezért a támadók más irányokból próbálkoznak, nem a szoftvereknél -- wifi-n bejutni a belső hálóra, megtörni a menedzselt hálózati eszközöket, a mindig arrogáns de azért legtöbbször kőostoba rendszergazdák hanyagságának kihasználása, a műveletlen felhasználók interaktivitását igénybe venni a kívánt műveletek elvégzésére vagy adatok megszerzésére, vagy mit ad isten értékes célpont esetében személyes fizikai penetráció.

---------------
mpu.buzz.hu

Kedves naffeju!

Nem tudom kinek nagyobb a feje, de megnyugodhatsz, van is igazad, meg nem is igazad lenni fog :).

Mondjuk senkivel nem vitatkozom, és nem is ajánlok senkinek semmit, néha flamelgetek kicsit.

Nem tudom a Te személyes tapasztalatod mennyit ér, valójában nem nagyon érdekel jelen pillanatban és esetben.
Abban igazad van, hogy az enyém globálisan nem ér sokat, de nem emlékszem, hogy valahol írtam volna, hogy én fingom a Golf áramlatot.
Nem igazán jelentős dolog, kis rendszerek 10-20 között, darabonként 5-50 user, folyamatosan 27 éve kínozzuk egymást a számítógépekkel.
Valóban nem tartom jelentősnek ezt a tapasztalatot, de sok itteni észosztónak az otthoni nintendójával felér.

Ami miatt mégis csak jelentős számomra, az az, hogy ezek a saját tapasztalataim, és ezeket úgy hasznosítom, ahogy én jónak látom.
Ezért nem érdekel, ha azt mondják, vagy olvasom, vagy egy másik tóból jött harcsa állítja, hogy szar, amit csinálok, használok, amivel csinálom, meg ilyenek, ha azt tapasztalom, hogy az adott feladatra, célra nekem a lehető legalkalmasabb.

Ettől függetlenül nem kell egymásnak esnünk, bár, ha Neked ez segít, csak rajta. Egyébként voltam pár helyen két hétig, mindenütt ugyanaz van valamilyen szinten, de nem ez volt a lényeg a hozzászólásaimban szerintem, persze ki tévedhetetlen? :).

-Atis-

Még az előzőkhöz egy kis kiegészítés.
Nekem személy szerint mindenütt, a cégnél is, aránylag kevés gondom van a Windows-okkal, leginkább amiatt, hogy a minimálisra próbálom korlátozni a használatukat. A legtöbb gond valóban a felhasználók miatt adódik, de magával a rendszerrel is lehetnek problémák.
Nem kell állandóan olyan gondokkal küzdenem, mint ambro-nak, de ez nem azt jelenti, hogy a rendszer annyira kiváló lenne.
Egyébként Linux mögött van minden, ez sokat segít, de néha ki kell engednem jószágokat legelni a netre.
A Novell, Linux gépekkel sokkal kevesebb bajom van.
Itt tapasztalható olyan érdekes jelenség, mintha a szoftver nem is lenne (persze frissítgetni érdemes, főleg, ha van net kapcsolat), mivel szoftverleállás nem jelentkezik, csak ha kimegy alóla a hardver.

Ja semmit nem kell csinálni a Win szerverekkel, hogy gondot okozzank, elég csak bekapcsolni őket.
Valamennyire válasszuk el a biztonsági és megbízhatósági problémákat, és ekkor is arra jutunk hogy a Win-nél van biztonságosabb és megbízhatóbb megoldás, bár valóban javult mindkettőben az utóbbi időben, de messze nem elfogadható mértékben.

Engem az érdekelne, hogy ha a szekuriti szoffeverek nem veszik észre, hogy valami rossz történik, akkor te hogy a rossebbe mégis? Monitoron olvasod a memóriád tartalmát? És hogy lehet az, hogy nálunk nem dőlnek be a windowsos gépek egy sima router+tűzfal mögött? Tele vagyunk vírussal/féreggel/trójaival, csak nem is tudunk róla?

Ötvenszer elhangzott, hogy a desktop Linux azért lehet biztonságosabb leginkább, mert alacsony a piaci részesedése, így a bűnözőknek alacsony megtérülést biztosít, magyarán kevesebb energiát ölnek a feltérképezésére és a támadások kidolgozására. Ha te azt hiszed, hogy ha valaki egy célzott támadásban Linuxot akar felnyomni, az nem sikerülne neki kb. pont olyan "könnyen", mint XP SP2 vagy Vista esetében, akkor részvétem -- lokális privilégiumemelés exploit is van, aminek lefutását csak szarrákorlátozott user mellet lehetett megakadályozni.

Az meg hogy Linux szervereket nem törnek meg, kapitális ökörség, más kérdés, hogy a támadások többsége rég nem a kernelt célozza közvetlenül, hanem a webszervert, adatbázist, és többnyire a rendszergazdák slendriánságát használják ki.

Aki a nagy nyilvánosság előtt 2008-ban kijelenti, hogy a Linux biztonságosabb, mint az XYZ, annak agyára ment az IRC.

---------------
mpu.buzz.hu

Eddig próbáltam magam távol tartani a témától, sajnos sikertelenül... :)

Annyi hozzáfűznivalóm lenne csak, hogy ha a rendszergazdák slendriánságát használják ki, az nem az operációs rendszert minősíti, mivel fel nem patchelt rendszer (be nem foltozott az igényesebbeknek:) ), semmilyen operációs rendszer esetén sem nevezhető biztonságosnak, max kikapcsolt vagy elérhetetlen állapotban, éppen ezért a jelen témában teljesen irreleváns.

Nem értek egyet azzal sem, hogy csak azért ritkábban törnek valamit meg (arányaiban), mert kevesen használják, és erre a legjobb példa az OpenBSD, mert akkor ezt a gondolatmenetet folytatva az csak azért biztonságos, mert kevesen használják a többihez képest.

A kérdés igazából az lenne, hogy két teljesen felpatchelt (befoltozott) rendszer esetén melyik a biztonságosabb a tervezésnek köszönhetően. Természetesen almát a körtével nehéz az szerint összehasonlítani, hogy melyik a finomabb, ezért alaposan definiálni kellene a funkciókat, a biztonsági szinteket, és úgy megismételni a teszteket, periodikus gyakorisággal. Ebből talán le lehetne már szűrni valami reális következtetést.

korci

Meg tudlak érteni. Mindig próbálkozom én is.
Elvonóra kell mennem. :)
Van nálunk néhány különleges felhasználókkal súlyosbított szoba. (gondolom máshol is van)
Egy ilyenbe, ha bemegy az ember, és mond valamit, olyan furcsán néznek, hogy elkezded magad egészen kényelmetlenül érezni, és megkérdezed magadtól, hogy mit keresek én itt, stb.
Ugyanakkor annyira zavart még a vegetatív idegrendszerük is, hogy ha nem szólsz rájuk, hogy vegyenek levegőt, képesek ott előtted megfulladni.
Ezért mondjuk, fizetnek, ha nem is eleget, de itt a HUP-on csak mostanában kezdtem ezt érezni. Mond az ember valamit és -szakmai fórumról van szó- mégis olyan furcsán reagálnak, mintha abból a szobából jöttek volna.

Erősnek kell lennünk, és szigorúan csak szakmai részekkel foglalkozni, mégha nehéz lesz is. ;-)

Igen, legalábbis meg kell próbálni, de nehéz... Évek óta olvasom a HUP-ot, és sajnálom, mikor olyan embereket látok feleslegesen egymásnak feszülni, akiknek a szakmai tudását elismerem. Van közös ellenségünk (az egységsugarú felhasználó), szóval miért egymást anyázzuk. No de ez már erősen off, úgyhogy ne is folytassuk tovább.

Viszont az ebben a hozzászólásban leírt linkek érdekesek, ha van az embernek ideje (már pedig ebben a szakmában illik) kicsit elmélyedni bennük.

Igen, ezeket is megnéztem, elég sok hasonló van, nemcsak a Microsoft által készített (vagy általa támogatott) szakmai anyagokban kell elmélyedni, van más is.
Szerintem is felesleges egymással szívózni, de néha nehéz megállni, hogy ne elégítse ki az ember a szófosási igényét, vagy csak kicsit felkapja a vizet, és ki kell engedni a gőzt, de régen ez kevésbé volt ennyire jelen.
Nagyon régóta olvasom a HUP-ot, évekig nem is regisztráltam, csak valamihez hozzá akartam szólni, akkor történt.

Az ideális informatikai környezet valójában felhasználómentes, de éppen ezért megvalósíthatatlan.

Minden jót!

Mindenkinek!

No akkor most kinyilvánítom, hogy két hét eljövendő finnországi tartózkodásomat (ha megérem) figyelembe véve, a Linux 3x biztonságosabb, mint XYZ, és a Linuxosoknak 2,4x erősebb a hajuk (már amelyiknek van), nekem személy szerint 1,8x fényesebb és sokkal selymesebb is.
IRC-n még nem utaztam, remélem nem áll meg annyi helyen, mint az IC és 2x hosszabb meg gyorsabb. :D.

Ja ismerek 1 BSD-s fazont, annak 2,1x sűrűbb is a haja. ;)).

Kedves naffeju!

Meggondoltam magam. Egészen komolyan mondom, érdekel a személyes tapasztalatod. Akik ismernek tudják, hogy minden ismeretet szívesen megosztok (nem nagyon van mit), és nagyon szívesen tanulok mindenkitől.
Mivel ez a HUP végső soron erről szól, cseréljünk tapasztalatot, akár privátban is.

Persze nem muszáj, kicsit szívoskodhatunk még, az sem rossz szórakozás néha.

"lokális privilégiumemelés exploit is van"

Lehet, de honnan tudod?

"a desktop Linux azért lehet biztonságosabb leginkább, mert alacsony a piaci részesedése"

Ehhez szerintem hozzátesznek
- a biztonságosabb alapértelmezések és az ehhez tervezett programok (hogy a Vista mennyit javult ilyen téren, azt nem tudom, de az XP-hez az alapértelmezés szerinti rendszergazda joggal a gépek nagy részén nem kellett local root exploit),
- a gyorsabban jövő biztonsági frissítések
- és az egyes rendszereknél már alapból jövő Mandatory Access Control rendszerek (bár lenne még mit fejlődniük).

Olvasom, próbéltok belekötni a teljesen egyértelmű mondanivalómba. Miért-is? Mert értelmes cáfolatot nem írtatok. Akkor? Szóval elmegy mindenki a fenébe aki csak úgy Lárt pul lárt parasztgyerek módjára kötekedik velem. :-(

Megismétlem: Szerintem aki nagy nyílvánosság előtt kijelenti azt a mondatot hogy "A Linux nem biztonságosabb ..." az vagy hülye, vagy lefizette a picipuha. Harmadik lehetőség szerintem nincs.

Ennyi. Pont.

( psl | 2008. 04. 03., cs – 10:07 )

Mondjuk azt is megnézném összehasonlításképp, mennyi alkalmazás volt alapértelmezetten a három rendszeren. Gondolom az Ubuntu default install lehetett, nem csekély számú programmal - azaz több hibalehetőséggel, ezzel szemben a vistára, meg a mac-re gondolom nem pakoltak fel hasonló programokat, vagy esetleg az Ubunturól szedték le?

Sanyi

Ez csak a második nap segíthetett volna, hiszen távolról nem lehet könnyebben támadni attól, hogy több felhasználói program van telepítve, 3. nap pedig a másik két rendszerre is lehetett 3rd party programot telepíttetni. Valószínáleg az is meg volt határozva, hogy 2. nap mikre voltak hajlandók a gépnél (weboldal, e-mail megnézése stb.), könnyen lehet, hogy minden gépnél ugyanannyira, tehát megintcsak nem sokat számít a több alkalmazás.

( Botond | 2008. 04. 03., cs – 12:39 )

Akkor minek indították az Ubuntu-t is? És miért pont Sony-val?
Szerintem jövőre tiltsák ki mindkettőt, mert kevéssé elterjedtek.

(Nem áprilisi tréfa ez?)

( dii | 2008. 04. 03., cs – 13:57 )

Történt egyszer a nyolcvanas években, hogy rendeztek egy szovjet-amerikai futóversenyt, hogy a két nép kapcsolatát erősítsék. Reagen és Gorbacsov becsülettel kiállt egymással szembe, de Gorbacsov nem igazán bírta a futást, csúfosan vesztett. Másnap megjelent az Pravdában a hír:
A szovjet-amerikai futóversenyen dicső elnökünk dobogós helyezéssel öregbítette országunk hírnevét, míg az amerikai kollégája pusztán az utolsó előtti helyezést érte el.

( s3r3nity | 2008. 04. 03., cs – 14:01 )

A végén milyen Vista dicsőités lett. De nem értem. A Vista meg a Mac OSX nem volt kihívás. Hol volt a Solaris, FreeBSD? HA az első kettő nem kihívás miért nem nehezítenek rajta?
Egyébként meg tök mindegy mit mond a faszi. A tény az tény: Vista törve, OSX törve, linux meg nem.Na ezek mondanak el mindent. Mintha OsX-et meg Vistát manapság kihívás volna törni. :)

Szerintem pedig nem. Lehet ezt árnyalni magyarázni a tény az tény. Én ezt durva magyarázásnak éreztem, hogy nem volt érdeklődés. Valószínűleg ha egyszerű lett volna feltörni akkor akár a hecc kedvéért is megcsinálják nem? De nem tették. Az hogy a részteveőket mi motiválta erre nem lényges valószínűleg sohasem tudjuk meg.
Az viszont egy vicc, hogy a cikk végére Vista dicsőítés lett az egész miközben ez pont a Vistának volt negatív.