USB autorun támadások Linux ellen

 ( trey | 2011. február 9., szerda - 14:40 )

Az IBM X-Force-os Jon Larimer a ShmooCon 2011 konferencián azt mutatta be, hogy a Linux desktop-ok is sérülékenyek lehetnek USB autorun támadásokkal szemben. A biztonsági szakértő diasorában nem csak arról ír, hogy hogyan lehet az USB-t felhasználni a támadáshoz, de azt is, hogy mit lehet kezdeni az olyan biztonsági mechanizmusokkal, szolgáltatásokkal, mint az AppArmor vagy a Linux kernel ASLR implementációja. A slidesor végén a szakember tippeket ad arra, hogy hogyan lehet megnehezíteni az ilyen támadásokkal operálók dolgát. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha egy USB-t be tud dugni a gépbe akkor minek vacakol exploitokkal meg egyebekkel?
Bebootol init-be rooként egy reset után és kész.
Ha már nagyon kell az USB akkor meg arra tesz egy live linuxot és azt bootolja be egy reboot után.

Na jó egyedül a disk encryption ellen kellhet.
--
A tehén egy olyan szerkezet, ami ihatóvá teszi a füvet.

Az a hangyaf*sznyi probléma még nem szúrt ugye szemet, hogy esetleg nem opció a gép boot-olása?

Veszel a boltban egy pendrive-ot, amin rajt van pl. gyárilag a cucc. Hasonlókra is volt már példa.
Hazaviszed örömködve, és rádugod a gépre, mert használni is szeretnéd, nem csak nézegetni. Ennyi.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Win alatt sem erről szólt a dolog. Arról van szó, hogy egy "fertőzött" gép a rádugott pendrive-ra kiírja a genitáliát, aztán átdugva egy másik gépbe már azt is megfertőzted. Minderről a felhasználó mit sem tud

Epp az a lenyeg, hogy nem kell hozzaferjen a gephez. Odaadja valakinek aki mit sem sejt az egeszrol. Habar nem olvastam a linkelt cikket, de sztem errol lehet szo.

És ha pl. a grub jelszóval védett? És ha a BIOS jelszóval védett? Akkor a módszereid nem működnek.

"Na jó egyedül a disk encryption ellen kellhet."

olvasd el, az sem

Mese habbal a nemi betegségről. Valamit mondani kell mindig ...

Most értem a végére a pdf-nek.
Rámutat jó pár érzékeny dologra, többek között arra, hogy a linux és _főleg_ jelen esetben linux desktop biztonsága egy rózsaszín álom.

igen, de azert lehet ellene tenni beallitasokkal ahogy nezem. Remelem, ez problema lesz a jovoben, mert az azt jelenti, hogy terjed rendesen a Desktop Linux :D

(mondjuk nekem ugy tunt, hogy a legnagyobb gaz a GNOME/nautlius-szal van)

A windows is beallithato volt tobbe-kevesbe biztonsagosra, csak epp az atlaguserek ezt nem tettek meg.

Ironikus módon tegnap óta a Windows update-n át lejön az a patch, ami kikapcsolja az autorun-t régebbi windows-okon is.

Kicsit ironikus, hogy a Linux terjedésével párhuzamosan dőlnek romba a fanok által terjesztett legendák.

A probléma ott van, hogy ezt már jó ideje előre megmondták, csak egyesek baxnak rá nagy ívben..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Attól hogy valaki valamit előre megmondott, illetve egyesek meg baxnak rá, az nem jelenti azt, hogy mások nem foglalkoznak a kérdéssel. Lásd a fenti prezentációt. Én, egyszerű júzer, átnéztem, tudomásul vettem, ezentúl odafigyelek rá. (meg a hírekre, hogy mi történik ezzel)
Az más kérdés, hogy ilyenkor idáig hallatszik a csattogás a pécéfórumról.

Azt hiszem kicsit félreértesz... Az ilyen és ehhez hasonló hiányosságokat már jó ideje megmondták azok, akik figyeltek rá (kezdve a kernel szintű védelmekkel (amit Linus annyira de szeret ellenezni), bezárólag az alkalmazások kódminőségével (és a kódellenőrzés szinte teljes hiányával). Amikor meg közlik a tényeket a fanokkal, akkor azok csak kitérnek, hogy "dehát nincs is rá annyi vírus, tehát kevésbé sebezhető"..
Az én problémám pedig pont innen indul - hiába mondja meg az ember, hogy amit használ 1-2 ember az erősen megkérdőjelezhető security szempontból, ha aztán a vevő oldal-nál a /dev/null alá kerül az információ. Ami még nem is lenne baj, ha azok, akiknek a szava tényleg számít nem gondolkodnának hasonlóképp..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

a legenda ott kezdodik, hogy a "...konfiguralatlan Linux is...". Elen a Buguntu-fele ALL a sudoersben baromsaggal, es akkor meg csak X-et se inditottunk.

oda kell figyelni, nincs mese (legalabb nem kell hozza fizetos third party software, hogy biztonsagos legyen), es legalabb a registryknel illetve third party software-eknel joval egyyszerubb modon engedi atallitani a dolgokat biztonsagosabbra/masabbra

Én evvel nem feltétlen értek egyet. Desktopon nekem aztán teljesen mindegy, hogy su-val vagy sudo-val csinalom meg a szükséges dolgokat (márpedig a leggyakoribb felállás ez). Gondoljunk csak bele mit veszítek vele. Semmit az égvilágon.
Mi a nagyobb szívás, ha törli a bármikor újrarakható rendszerfájlokat valami, vagy törli a $HOME-t? Védje a rendszer a fájlokat az egyszerű felhasználó esetén is, független ez sudoer 'baromsagtol'.

Az ilyesmire nem lenne rossz egy verziokovetos FS, persze ehhez ujra lopn^innovalni kellene :(

ez mar egy masik kerdes, de az ALL a sudoersben akkoris favagas, barki aki tudja a user jelszavat megnyithatja a root accountot, sot, meg is valtozatthatja a root jelszot es kitorolheti a usert sudoersbol

Próbálkozni lehet különböző mókákkal jelszó nélkül is, mert a sudo egy ideig megjegyzi a jelszót.
Így egy jó időben a user nevében indított parancs akár le is tud futni sudoval jelszó megadás nélkül.
Ok, kicsi az esély a megfelelő időpillanat eltalálására, de ha a hülyeség kitartó szorgalommal párosul semmi sem lehetetlen...
- - - - - - - - - - - - - - - - - - - - - - - - -
Fejlődőképes hiperláma, és okleveles érdekfeszítő

Arrol nem is beszelve. Lenyeg, a sudoerst rohadtul nem ugy es nem arra kene haszanlni, amit Ubuntuek csinalnak vele

Beállíható, hogy rögtön elfelejtse. :)

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Tudom. És mi az alap amit a felhasználó nem piszkál mert az oprendszer szállítója beállította?
- - - - - - - - - - - - - - - - - - - - - - - - -
Fejlődőképes hiperláma, és okleveles érdekfeszítő

némileg egyet értek veled, valóban: a fullpermissön /home a legsérülékenyebb adatok tárháza lehet.

Megoldás 1: backup early, backup often;
Megoldás 2: extra szenzitív cuccok legyenek egy olyan fájlrendszeren, ami alapból nincs mountolva, és csak a root tudja csatolni;
Megoldás 3: figyeljünk rá a dolgozó processzekre. Ezért szeretem conkyba kitenni a top parancs különféle kimeneteit.
Megoldás 4: mindig legyünk gyanakvóak, függetlenül attól, hogy milyen oprendszerünk van. Személy szerint MINDIG belenézek a forrásfájlokba meg a programok szkriptjeibe, ha nem a Debian hivatalos repóiból teszek fel valamit.

ezt a fizetős third party kell a biztonsághoz és hasonló hülyeségeket honnan veszed?

pl. virusirto, tuzfal... (tudom, Windows tuzfal meg MSE szerintetek tokeletes)

meg azert egyszerubb egy config file-t megtalalni/atallitani, mint egy registry bejegyzest, tobb third party szoftver van, ami semmi mast nem csinal, csak registry kulcsokat modositgat arrol, amihez nincs GUI (mar a Run szakasz modositasa es levedese is komoly gondot okozhat a legtobb usernek)

1. A linux kernelben van vírusírtó?
2. A mezei user ugyanúgy nem fog config file-t módosítani, mint registryt. De egyébként miért egyszerűbb config file-t módosítani, mint registryt? Főleg ha többezer soros config fileról van szó...

azert en meg nem nagyon lattam tobbezer soros konfig file-t, meg goyrsabb is text konfigban keresni, mint a tenyleg milliobejegyzeses registryben (a kikommentelt segedekrol nem is beszelve). A kernelben meg megis miota kene virusirtonak lennie? (fuggetlenul attol, hogy a clamav szerintem is siralmasan rossz)

"azert en meg nem nagyon lattam tobbezer soros konfig file-t"
Akkor már nem is létezik?

"meg goyrsabb is text konfigban keresni, mint a tenyleg milliobejegyzeses registryben"
Kivéve ha a config file-ban nincs is definiálva az a bizonyos beállítás, hanem az alkalmazás a default értéket használja. Akkor mire keresel rá?

"A kernelben meg megis miota kene virusirtonak lennie?"
Nem kell lennie, ahogy a windowsnak se kell, hogy a része legyen. Csak míg az egyiknek a szemére veted, hogy 3rd party cuccokat használ a biztonsághoz, addig a másiknak nem.

en GNU/Linuxrol bezseltem, es altalaban arrol is van szo

"man programnev" altalaban megoldja a masik probelmadat.

Es lattam mar par config file-t, elhsizem, hogy leteznek csunyak, de a csak aranylag atlathato xml config filenal rosszabbat meg nem sikerult tapasztalnom, es meg az is egyszerubb volt, mint registryben turkalni

""man programnev" altalaban megoldja a masik probelmadat."
http://samba.org/samba/docs/man/manpages-3/smb.conf.5.html
Jó, akkor olvasgassad, én meg megyek vissza registryt szerkeszteni, hogy a szar átjáróház windowsomból, valami elfogadhatót csináljak:)

Sambahoz sem veletlen van ezerfajta beallitoGUI :D De a Samba mas sebekbol is erosen verzik mondjuk :/

tobb third party szoftver van, ami semmi mast nem csinal, csak registry kulcsokat modositgat arrol, amihez nincs GUI

nem kell se third party szoftver, se registry kulcs módosítgatás, csak ismerni az egyéb lehetőségeket, mint pl a secpol.msc-t.

de az autoplay kikapcsolásához konkrétan még az se kell, mert van rá _GUI_

errol pl. tudok (autoplay), elso dolgom szokott lenni, ha valakinel gepet telepitek, de ahhoz kulso program kell pl. hogy "levedd" a Run szakaszt a registryben (program telelpitesekor ne tudja barmi csak ugy magat oda beirni, kerdezzen elotte a "rendszerezkoz")

Ez a windows like linux már nem az a linux, amiről legendákat lehet terjeszteni. A legendákról meg annyit: ki mit tapasztal. Én valahogy még mindig több megtört windowst látok, mint megtört linuxot.

Erre itt megtalálod a magyarázatot.

Mifelénk nem ez a piaci részesedés..

másrészt meg ha elhittem volna, amit az ms mond a windowsokról, akkor most nem kellene feltört gépet találni a neten, egyet se.

Jó, és azt esetleg megkérdezhetem hogy a feltört Windows-ok között tapasztalataid szerint milyen arányban vannak az egyes verziók?

Én többszáz feltört linux szervert láttam már, windows-t viszont 1 kezemen megtudnám számolni, hogy mennyit.

nem csak linuxot kéne adminolni, hanem windowst is és akkor más lenne a tapasztalati arányod.

99%-ban windows-t adminolok.

fúj, teszed le! ki leszel közösítve :)

'minden szentnek maga felé hajlik a keze' ;)

Mind a tied volt?:P

Vajon mi számít feltört szervernek?

Az, amikor a worm végigmászott a belső hálón, és az elhárításhoz a globális cég összes mail szerverét, összes domain controllerét, összes file szerverét, minden tűzfalat és VPN kapcsolatot (a különböző országok között) le kellett állítani (plusz SQL szerverek, meg ez-az, de azokról nem tudok sokat).

Klassz volt. Mivel nekünk, magyar irodának pl. az internetünk akkoriban vagy a dán, vagy a német tűzfalon ment ki, és a VPN nélkül nem ment el oda semmi, így gyakorlatilag pár napig minden szerver és minden internet kapcsolat elérhetetlen volt.

Persze lehet, hogy a worm fertőzés nem számít feltört szervernek, ebben az esetben bocs, irreleváns, amit írtam.

Én csak olyanokról beszéltem, ahol konkréten root hozzáférést szereztek a szerverhez. Rengeteg olyat láttam, ahol webappon keresztül sikerült rootolni egy szervert, de az is nagyon gyakori, hogy végigscannelnek nagy címtartományokat hogy nyitva van e a 22 port, és wordlist alapján végigpróbálgat x db felhasználónév:jelszó párost, és ha be tud lépni, akkor már csak egy local root exploit kell, amiből linuxon nincs hiány. Meglepődnétek, hogy hány patcheletlen linux van a neten, vagy hogy hány pistike bt hosting szerverét hasznáják átjáróháznak.

Persze erre jön majd a válasz, hogy normálisan kell beállítani a linuxot, de ez igaz bambano windowsos példájára is. Csak erről egyesek szeretnek megfeledkezni.

de ugye érzed a különbséget a "linux desktop biztonsága egy mítosz" jellegű kifejezések meg a "trehányul üzemeltetett linuxok biztonsága egy mítosz" kifejezések között?

A jól üzemeltetett linux biztonsága is mítosz, ha ezt keresed a hozzászólásban. Annyit kellene belátni, hogy ezek a rendszerek annyira bonyolultak, hogy nincs ember, aki garantálni tudná, hogy a rendszer egyik komponense sem sebezhető. Csinálhatsz akármit, gyakorlatilag biztos lehetsz benne, hogy a rendszer sebezhető, és ez ellen semmit nem tehetsz. Természetesen bizonyos támadásokat meggátolhatsz, a már ismert sebezhetőségek ellen védekezhetsz, de egy 0day bármikor becsúszhat. És ezt gyakorlatilag rendszertől függetlenül kijelenthetjük, semmit nem jelent, hogy linuxot, windowst, vagy a csak te általad használt, gépi kódban írt rendszert használod.

--
Don't be an Ubuntard!

nekem pont elég, ha a szervereimet nem tudják megtörni, a desktopom törése úgyis nehézségekbe ütközik...

egyébként pedig nem műszaki területen van gondom ezzel a dologgal.

Ez a valasz jol szemlelteti azt, hogy az ember gondolkodasa pont odaig szokott sullyedni, amire az ot korulvevo eszkozok kenyszeritik. Ennek tudataban azert nem artana lenni a hangzatos altalanositasok helyett. Lasd indentalas topik a masik pelda...

A biztonságot nem abszolútértéken mérjük, beleszámoljuk a kockázat-, fenyegetettség mértékét is.

A tökéletesség/hibamentesség az a szó, amit itt keresel. Biztonságos informatikai rendszer van (akár Linux/Windows/stb alapon is), tökéletes/hibamentes nincs.

Nekem főleg azokkal van bajom, akik tényként közlik hogy mennyivel biztonságosabb a Linux mint a Windows, de ezt semmivel nem tudják (nem is igazán lehet) alátámasztani. Ez egy mítosz. Ami amúgy lehet akár igaz is, ezt én nem tudom megítélni, mivel nem vagyok biztonsági szakember. Viszont egy hazug mítosz marad egészen addig, amíg azok, akik hangoztatják nem tudnak rá bizonyítékot felmutatni. Egyébként elég sok biztonsági szakember nyilatkozott már elismerően a Windows 7 biztonsági mechanizmusairól.

hogy lehet elismerően nyilatkozni olyan biztonsági mechanizmusokról, amit egy pillanatig se tart kiiktatni? A w7-ben bevezetett megoldások (pl. uac) minimálisan se lassítottak semmit a windowsos kártevőkön. Ezt hogy lehet elismerni? Emellett hány (egyéb területen) elismerő nyilatkozatot, felmérést, esettanulmányt láttunk már az ms-ről, amikről kiderült, hogy gazdasági érdekek és nem műszaki indokok vannak mögötte?

Tényleg nincs bizonyíték...nem is tudom, hogy itt miért nem látok egyetlen Win OS-t sem...micsoda véletlenek vannak..

------------------
My Open-Source Android "Projects"

és ez meg volt, okoska?

Nem tudom mit szerettél volna linkelni, nekem ugyan az jön be amit linkeltem.

------------------
My Open-Source Android "Projects"

nem ugyanaz, nezd meg kicsit alaposabban ;)

Jah látom, akkor már találtunk egyet, sorry :)

------------------
My Open-Source Android "Projects"

meg mégegyet, meg mégkettőt, stb.

ha te ezekből a statisztikákból ilyen messzemenő következtetéseket vonsz le, akkor nem vagy normális

Ebből mennyi Windows szerver volt közvetlenül kinn az interneten valamilyen szolgáltatást futtatva? Remélem nem a Linux webszervereket hasonlítod a helyi Windows fájlszerverekhez. ;)

(Vannak kollégáim, akiknek a munkája szinte csak abból áll, hogy kedves ügyfelek által internetre kirakott, elhanyagolt, majd robotok feltört _Windows_ szervereket raknak rendbe az ország minden területén.)

--
trey @ gépház

Elhanyagolt szervernél szinte mindegy, hogy milyen rendszert futtat. Viszont a legnépszerűbb szabad és nyílt forrású projekteket hosztoló SourceForge-ot is bénán megírt perl robotok törögették (többekközt), pedig azt elvileg nem hagyták magára... és nem Windowsos. :)

ebből azért én még nem vonnék le messzemenő következtetést.

Messzemenő következtetést nem is kell, mindenesetre a SourceForge hosztolt projektek nem tekinthetők túlságosan megbízhatónak, pedig onnan is jópár szoftver kerül át aztán a Linux disztribúciókba.

Elvileg nem hagyták magára a Nasdaq OMX Directors Desk-jét sem. Mégis megtörték. A hatóságok el akarták hallgatni, de kiszivárgott.

A Sourceforge és a hasonló nyílt projektek nyílt kommunikációt folytatnak. Ezekről hallasz. Arról nem hallasz annyit, hogy mennyi Windows szolgáltatást törnek meg. Főleg azért nem, mert ahol Windows-t használnak, ott nincs nyílt kommunikáció és nem azért, mert ott ilyenek nem történnek.

--
trey @ gépház

Én nem a Sourceforge oly nyílt kommunikációjából tudom, hogy a szervereiket már az is megtörte, aki nem akarta... :)

Feltehetően akkor arról is van információd, hogy csak itthon sem kevés az olyan, vállalatoknál, szervezeteknél levő Windows szerver száma, amik úgy esnek támadók áldozatául, hogy arról egy kukk sem hangzik el sehol.

--
trey @ gépház

Nincs összefüggés egy vállalat informatikai szervezete által használt rendszerek licence és a PR osztály kommunikációja között.

Attól hogy valamelyik vállalat Linux szervert használ Windows helyett még nem jelenti azt, hogy egyben nyílt kommunikációt is folytat... pláne az incidenseiről.

Próbáltam arra célozni, hogy míg Windows incidensről az érintettek ált. soha nem számolnak be maguktól (csak ha kiszivárog), addig linuxos incidensről jó párról tudunk, hogy maguk az érintettek önszántukból tájékoztatást adtak (Fedora, Debian, Sourceforge, hogy csak a közelmúltban levőket soroljam). Más világ, más "kultúra". Ebből kifolyólag ezekről többet lehet hallani. Persze ez koránt sem jelenti azt, hogy ezekből több van.

--
trey @ gépház

Mégegyszer leírom, mert látom elsőre nem ment át:

Nincs összefüggés egy vállalat informatikai szervezete által használt rendszerek licence és a PR osztály kommunikációja között.

Ez elől talán az egyetlen kivétel az, amikor a vállalat informatikai szervezete által használt rendszer egyúttal a vállalat saját terméke is. Ott nyilván összefüggés kell legyen a PR osztály kommunikációjával, de teljesen más okokból és ez a speciális eset az összes vállalat 0.0001%-át teszi ki.

A felsorolt érintettek eleve nem vállalatok, hanem nyíltforrás-hívő alapítványok vagy kis cégek, amelyek ebbe a speciális esetbe tartoznak, de az össz vállalatok/szervezetek nagyon kis hányadát teszik ki.

A SourceForge szerverei ráadásul - ahogy korábban is írtam már - a kezdetektől fel vannak törve, úgyhogy eleve vicc kategória az, hogy most ennyi idő után bejelentették, hogy valamilyen támadást észleltek...

Teljesen más dologról beszélünk. Te is, meg én is.

--
trey @ gépház

Ugyan arról beszélünk, csak te azt hiszed, hogy van összefüggés.

Nem, te arról beszélsz folyamatosan, amit kivastagítottál. Én nem arról. :(

--
trey @ gépház

Jaj trey, hagyjad már magad. :)

Itthon is van egy rakás hosting cég, akik Linuxot használnak és néhány hetente van valami incidensük, mégse látni azt az oltári nagy nyílt kommunikációt tőlük, amiben elismerik, hogy már megint szana-széjjel törték a szervereiket...

Más világ, más kultúra? Ugyanmár, ne kacagtass.

Látod, folytatod a magad verzióját, pedig én nem erről beszéltem. Linux-ot használó cégekről nem is beszéltem. Te kezdtél el erről beszélni. Arról sem beszéltem ebből kifolyólag, hogy a Linux-ot használó cégek minden incidenst bevallanak. Arról beszéltem, hogy van egy csomó szervezet, ami Linux-ot használ és bevallja, ha van biztonsági incidens. Szemben a Windows-t használókkal, akik sosem vallják be önszántukból. Remélem érzed mi a különbség a két verzió közt.

A más kultúra, más világ sem a linuxos cégekre, hanem a szervezetekre vonatkozott (fel is soroltam őket). Te mosod össze a saját verziódat az enyémmel és jössz olyan dolgokkal, amik csak tőled hangzottak el. Ezért mondtam, hogy nem egy malomban őrlünk.

De egyébként neked van igazad. Mindig, mindenben.

--
trey @ gépház

De ugyanazt a hülyeséget hajtogatod tovább. Linux-ot használ és bevallja a biztonsági incidenst, Windows-t használ és nem vallja be. Mintha bármi köze lenne a használt informatikai rendszernek a vállalati kommunikációhoz. Ébredj már fel.

Teljesen mindegy, hogy mennyi volt kint az interneten. Én ezt bambano hülyeségére írtam:
"Én valahogy még mindig több megtört windowst látok, mint megtört linuxot."

Két dolog miatt lát több megtört windows-t:
1. Egy "kicsit" több windows van a világon mint linux.
2. Az átlag user szereti elhanyagolni a rendszerét, és ezért kerül rá vírus.

De bambano már megint azt a faszságot erőlteti, hogy a linux biztonságosabb mint a windows ezért is lát több megtört windowst.

Az ő hülyeségére írtad az rendben van. De interneten kinn levő gépet hasonlítani nem interneten kinn levő géppel az kb. az almát a körtéhez hasonlítás. Ezért kérdeztem azt, amit kérdeztem.

Nem csak az átlag user "szereti" elhanyagolni a rendszerét. Meglepődnél, hogy mennyi óriásvállalatnál van "elhanyagolt" rendszer. Persze itt az elhanyagolt idézőjeles, mert sokszor nem az adminisztrátor tehet arról, hogy rendszerek ilyen állapotban vannak. Példa:

A szerver által futtatott szolgáltatást 7/24/365-ben használják. Igazgatói utasítás, hogy nem lehet leállítani. Arra viszont nem költenek, hogy a szolgáltatást megklaszterezzék, vagy más módon gondoskodjanak a business continuity-ről.

--
trey @ gépház

Nekem a hálózatomon levő minden megtört géppel munkám van. Miért rossz az, hogy ezt utálom? És a tapasztalat azt mutatja, hogy windowsos gépekkel van munkám, linuxosokkal nincs.

Miért baj az, hogy én nem elméletek meg ilyen-olyan megkérdőjelezhető forrásból származó hiedelmek alapján mondok véleményt, hanem a saját napi gyakorlatomban előforduló esetek alapján? Jó lenne, ha a jelzőidet ennek megfelelően válogatnád meg.

Te elmondtad a tapasztalatodat én meg elmondtam az enyémet, mi a probléma?

BTW: vírusos gép != megtört gép

Azért azt is tegyük hozzá, hogy
vírusos gép != biztonságos gép

------------------
My Open-Source Android "Projects"

a szóhasználatod meg a jelző-választásod a probléma.
hogy értsd, demózok: csak a seggfejek mondják mások tapasztalatára, hogy faszság.

Mert a terjedésével együtt jár, hogy gyökerek gyökér igényekkel (pl. autorun) tolják tele a rendszert. Koevolucióról hallottál már?

mi az a koevolúció? hogyha írsz egy idióta biztos rendszert, csak idióták fogják használni?:)

koevolúció: a biológiában két faj egymással kölcsönhatásban történő fejlődése.

Megjegyzés: néha jó dolog utánanézni idegen szavaknak, mindig lehet tanulni ezt-azt.

Jogos, rosszul emlékeztem, bár tulajdonképpen illik ide is :-D Egyébként nem is találom a megfelelő kifejezést erre, a lényeg, hogy azonos vagy nagyon hasonló környezetben egymástól elszigetelt helyeken is rendkívül hasonló a fejlődés útvonala, erre mondjuk remek példa az erszényesek, ahol szinte minden méhlepényes emlőscsoportnak megvan a hasonló megfelelője. Erre szerettem volna a kifejezéssel utalni, fail, de várom a pontosítást! :-)
szerk: konvergens evolúció a keresett kifejezés.

Igen ez a kényelem dolog sokszor okoz biztonsági rést, de ez szerintem "platformfüggetlen". Egyébként az ilyen usb (annó cd)-auto startos dolok igen könnyedén tilthatóak. Cserében bukik ez a kényelmi funkció. Az a gond, hogy univerzális jó megoldást nem lehet készíteni a támadások kivédésére, mert mindíg ott van az emberi hülyeség, hozzáértés hiánya...... Egyébként én ezen nem csodálkozok, mert minden fajta tanulás, és hozzáértés nélkül ülnek le emberek a világ legbonyolúltabb rendszerei elé (értsd számítógép). Pl autóval ezt nem lehet megtenni. Jogsit kell szerezni. Felelősséget vállalni..... Ide is hasonló kellene, hogy esély legyen megfékezni ezeket a támadásokat.

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

Én azt nem értem, hogy ezt az egész autoplay trutyit miért nem lehetett alapvetően úgy megvalósítani, hogy csak feldob egy ablakot: "Hé user, ezt a vackot ha akarod, el tudom indítani. Akarod? Igen/Nem". Ennyi! Semmilyen körülmények között ne olvasson és futtasson bármit is engedély nélkül!


Ne kattints ide!

ez egy kicsit egybites gondolkodás, azért a felhasználók egy jó részének kényelmesebb dolog ez mint amennyi kockázatot jelent
legyen legalább 2 bit: igen/nem/mindig/soha
vagy legalább egy popupban: elindítottam, baj? többé ne/nem
:)
ahogy a windows áll a vírusokhoz egyszerűen érthetetlen számomra, de amikor linux alatt is megláttam egyszer az alapból indulást, minden kérdés nélkül.. fel is adtam végleg, nincs olyan hogy vírusvédelem :)

> a felhasználók egy jó részének kényelmesebb dolog ez mint amennyi kockázatot jelent

No ez pedig 0-bites gondolkodás. Ez minden felhasználónak nagyobb kockázat, mint amekkora kényelem. (*) Ugyanis nem sok igazán paranoiás ember létezik, és pl. az ember a saját pendrive-jában általában megbízik, holott nem biztos, hogy kellene. Elég csak egyszer másik gépbe is bedugni, nem csak a sajátodba, máris megvan a kockázat. (Pl. ezen hordod a digiképeidet előhívatni - honnan tudod, hogy nem fertőz meg az a masina?) Ha meg kizárólag egyetlen gépedbe dugod be, akkor minek neked pendrive?

(*) Ráadásul ez simán tanulás/megszokás kérdése: ha az első pillanattól azt látja, hogy felugrik egy ablak, amiben kiválaszthatja, hogy mit akar vele csinálni, akkor azt fogja használni. Ha pedig a segge alá toljuk a baromságunkat (autorun), akkor meg azt.

amit írsz az alapján mintha nem ugyanazt értenénk a kockázat szó alatt: bekövetkezés valószínűsége szorozva az okozott kárral
az hogy vírus kerül a gépre még nem atomrobbanás, ha még valószínűséggel is beszorozzuk, akkor bizony igen sokaknak (nem lenne ezen értelme vitatkozni de _szerintem_ a célközönséget nézve már 50% felett)
ehhez még azt is hozzá kell venni hogy e mellett a kényelem mellett van olyasmi hogy defender meg ajánl vírusvédelmet meg stb...

összeségében bármennyire utálnám, de ha nekem kellene az ms-nél dönteni hogy hogy legyen, úgy döntöttem volna hogy alapértelmezetten fusson, csak legyen lehetőség könnyen kikapcsolni (nem pedig a gpedit-ben)

könnyen kilehet kapcsolni, nem kell hozzá gpedit

"az hogy vírus kerül a gépre még nem atomrobbanás"

De épphogy csak :)

Oké, legyen két bit, de a "mindig" opció nélkül, mert akkor ugyanott vagyunk, mint most! Ha valakit zavar a dolog, akkor van esély rá, hogy a soha-t választja, ezzel is tudtán kívül kivédve a problémát :)


Ne kattints ide!

már miért ne? nem azért van a gép hogy a vírusokat irtsa, hanem ha betegen is de a felhasználót szolgálja!
ráadásul könnyen elképzelhető megbízható környezet, ahol ráadásul a felhasználóknak is van eszük :) és így lehet ki be dugdosni a pennát, nem kell abból kiindulni hogy csak kupi van ahol kell a gumi :)

Nem tudom, másnál hogy megy ez, de nálam, ha bedugok USB-n bármit (hdd, pendrive), akkor feljön egy értesítés, hogy ilyen és ilyen új eszközt észlelt, van 3 lehetséges akció. Egy sima klikk a mountolás, a 3 lehetséges akciót lenyitva meg lehet választani, hogy download photos with gwenview, download photos with digikam, open with file manager.

Ha nem kattintok egyikre sem, akkor semmi nem történik.

Feltételezem, ha lenne autorun akármi, akkor a 3 actions for this device helyett 4 lenne, az egyik a futtatás.

És szerintem ezzel nincs is gond, ha így van.

Mert te KDE-t használsz, mint én. A hír erősen bulváros és azt feltételezi, hogy Linux = Ubuntu = Gnome. Mellesleg a demonstrált támadás egy már befoltozott lyukat használ ki, szóval egy friss rendszeren nem is működik. Kell néha ilyen hír is, hamar képet kapunk legalább arról, hogy ki van O_WRONLY && O_TROLL módban. :)

Eféle sebezhetőségben ugyanúgy érintett lehet a KDE is, abszolute nem ez a lényege a történetnek. Azért mert előkapart egy evince dvi hibát miért feltételezed, hogy másban nem nincs ilyen jelenleg is? A hír inkább figyelmeztet arra, hogy rossz tervezés illetve kivitelezés (autorun, screensaver, thumbnailer, bármi) képes lehet romba dönteni bárki munkáját. Ha idáig látod, hogy linux, ubuntu, gnome akkor sajnos te vagy write-only módban.

Az, hogy ez jeleneg mekkora veszélyt jelent ránk nézve az egy másik fejezet, attól még lehetne a XXI-k században kicsit komolyabban értelmezni a security-t.

Ez szoftverhiba, nem tervezési probléma. Persze úgy is el lehetett volna kerülni, hogy az adott funkciót nem implementálják, de ennyi erővel ki lehetne venni a fájlrendszereket és az usb kezelést is a kernelből, mert preparált hardverrel/adatokkal _talán_ az is kihasználható.

Itt egy adott sebezhetőséget használtak ki, amit azóta ki is javítottak (nem a feature letiltásával). Valószínűleg van még efféle más szoftverekben is, ki kell javítani azokat is, ennyi.

Azt esetleg fel lehet róni nekik, hogy a screensaver alatt miért foglalkozik a pendrive-al (nyilván azért mert így jóval egyszerűbb mint workqueue-t állítani es unlocknál feldolgozni), de ez részletkérdés, mert ha unlockolt desktopon történik ez az egész, akkor is ugyanez lenne a hír és ugyanezt kommentelnétek.

Nem egészen, pont itt van a tervezési probléma. Adott egy 'lockolt' desktop, odamegyek radugok egy pendrive-ot és kinyirja a screensavert. És elő is állt a teljes a hozzáférésem. Ezt a részt gondoltam tervezési hibának, nyilván kell hozzá egy kihasználható programozási hiba is.

Ez eddig is így volt. De az ubuntuban a fejlesztők betették ezt a marhaságot, hogy a pendrive-ot automatikusan bemountolja, majd a tartalmát a nautilus megjeleníti és ráadásul még előnézetet is csinál. És itt került szar a palacsintába, mert egy preparált fájl-al az előnézetet generáló plugin-ek megfektethetőek. (E. Vince, Totem és Társai stb.) A gáz ebben az, hogy ez funkció még a képernyővédő és/vagy a zárolt képernyő gép esetén is működik.

Bocs, lehagytam, hogy én leginkább windowsra gondoltam, és abban bíztam, hogy mások tanulnak az ottani hibákból és rossz megoldásokból, de szomorúan olvasom hogy nem... Szóval gáz, hogy a legelső wines megvalósítás nem így működött, gázabb hogy azóta se sok minden változott a területen (bár fentebb írták, hogy jött valami patch winre), a leggázabb meg az amiről írtál ubuntu esetén...


Ne kattints ide!

Tegyük hozzá, hogy a thumbnailezés-automountolás nem Ubuntu-találmány, hanem Gnome, és elsősorban a 16:1 NyRT fejleszti.

Én csak azt nem értem, miért kell ehhez USB, meg utorun, meg ilyesmi.

Hát ha odaadok egy CD-t valakinek, amit ő elkezd kézzel böngészni, és valamelyik könyvtárban van egy fájl, amin a thumbnail kezelő elhasal, akkor voltképp ugyanott vagyok.

Úgy értem, hogy ha a thumbnail néző izé a hibás, akkor miért pont az USB-t, és miért pont az automatikus megnyitást emeljük ki?

Ha valaki bedug egy USB-t, akkor feltételezem nagy eséllyel mountolni akarja, aztán meg megnyitni egy fájlkezelővel. Ehhez nem kell automount, meg autorun...

+1

Én azt nem értem, hogy ezt az egész autoplay trutyit miért nem lehetett alapvetően úgy megvalósítani, hogy csak feldob egy ablakot: "Hé user, ezt a vackot ha akarod, el tudom indítani. Akarod? Igen/Nem"

Nagyjából így működik Windows 7 alatt.

Semmilyen körülmények között ne olvasson és futtasson bármit is engedély nélkül

És akkor hogyan olvassa ki azt, amit kiírna neked, hogy ha akarnád futtatná? ;)

Ráadásul ahhoz, hogy ezt kiírja neked, "futtatnia" kell az engedélyed nélkül egy olyan kódot, amelyik a kiírást végzi...

1. Én a kezdeti időszakokra gondoltam. Amióta van autoplay, eléggé sok idő eltelt, hogy a win7-ben az általad említett viselkedés megjelenjen. Win7-el még nem nagyon találkoztam, ennyire mélyen nem. Ha valami hasonlót tettek bele, akkor azt mondom: végre! (de csak akkor, ha tényleg csak annyit csinál, hogy ránéz van-e érdekes program az adathordozón, és nem futtat le semmit onnan kérdés nélkül!) Remélhetőleg mások is csak valami ilyesmi megoldáson fognak gondolkodni a jövőben és elfeljetik ezt az "alapból mindent lenyelek, amit a számba adnak" mentalitást.

2. Mikor gépeltem éreztem, hogy nem lesz eléggé hangsúlyos az "és" kapcsolat, de aztán felébredt bennem a kisördög, és vártam, hogy kinek szúr szemet :D - szóval engedély nélkül ne olvasson ÉS futasson! Olvasnia - és csakis olvasnia - szabad :)

Az utolsó mondat: Kissé sántít... A pendriveon lévő pld. autorun.exe nem része az oprendszernek míg a kiírató kód igen. Az minek kérne engedélyt? Ennyi erővel a bootnak és a loginnak is engedélyt kellene kérnie tőlem a futáshoz :) Szerintem nem egy kategória egy operációs rendszer részét képező kód engedély nélküli futtatása (ami ráadásul csak olvas) valamint egy ismeretlen kód engedély nélküli futtatása.


Ne kattints ide!

A Linux "csak olvasott", úgy tört meg. Futtatni esze ágába se volt.

Nem érted...

"Olvasnia - és csakis olvasnia - szabad" + "kiirató kód, ami része a rendszernek" == "önkényes kódvégrehajtás"

Az összeadás első tagja egy támadó által kontrollálható bytesorozat, a második tagja pedig egy biztonsági hibát tartalmazó rendszerkomponens, amelynek hibáját az első tag által használ ki a támadó.

Tehát a "csak olvasás" nem véd meg önmagában, mert alacsony szinten egy "olvasás" is olyan memória korrupciót okozhat egy sebezhető programban, amelyiket "futtatásra" lehet kihasználni... Lásd Windows icon kezelő kódjában való sebezhetőség, vagy a jelenlegi Linux problémák.

Hát igen... Sajnos egyesek nem képesek hiba nélkül implementálni pld. egy beolvasás+vizsgálat+üzenet küldést. Az ellen nem véd :)

Értelmezd úgy a mondandómat, hogy a kérdéses operációs rendszer rutin hibamentes :) (Ezt tény, hogy nem írtam bele.)


Ne kattints ide!

Ja, hát álmodozni lehet, de túl bonyolultak már ahhoz ezek a szoftverek, hogy hibamentesek lehessenek... :)

A disztrókészítők komolyan megfontolhatnák végre a PaX alkalmazását.

Vagy a 32 bittes x86 -os dobasat :). Vagy pie kapcsolo hasznalatat. Vagy hibatlan programok szallitasat.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

A PaX nem csak ASLR-ből áll... Ráadásul igen jellemző, hogy pont ezt a leggyengébb összetevőjét emeli ki mindenki és használják fel máshol is.

> Vagy a 32 bittes x86 -os dobasat :).

meselj, mi a gond az i386-tal? ;)

80386
* no NX
* no PAE

Kerdezd a PaX-osokat :)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

aztak....

i386 != 80386. ajanlom meg a linux/arch/x86 (regebben linux/arch/i386) bongeszeset, hatha leesik ;). a kerdes tovabbra is all, plane, hogy NX jo par eve van i386-on is.

i386 != 80386. Nem mondtal ezzel ujat.

Csak PAE modban van, az meg torzszulemenynek tunik. "ideglenes" workaroundnak.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

> i386 != 80386. Nem mondtal ezzel ujat.

akkor ossze-vissza beszeltel, mert ezek szerint az eredeti kijelentesed az i386-rol szolt (az architekturarol, masneven IA-32-rol, nem az adott processzor tipusrol) es aztan egy hirtelen huszarvagassal felrodtad a '80386'-nak (ami nem az architektura, hanem az elso IA-32 proci volt 25 eve), hogy se PAE, se NX nincs benne.

tehat megint megkerdezem: mi a gond azzal, amit te '32 bittes x86-os' neven emlitettel. mert eddig meg egy ertelmes dolgot nem sikerult felhoznod ;).

> Csak PAE modban van, az meg torzszulemenynek tunik. "ideiglenes" workaroundnak.

szoval ami turul16@hup-nak 'torzszulemenynek' tunik, azert dobni kell egy biztonsagot (is) ado feature-t, vagy hogy is van ez? meg aztan el kene magyaraznod, hogy miert 'tunik' a PAE feature torzszulemenynek, plane "ideiglenes" workaroundnak (azt ugye erted, hogy az "ideglenes" workaround-nak titulalt feature ki se kapcsolhato 64 bites modban? akkor dobjuk azt is, mert turul16@hup azt mondja?). meg aztan az is erositene a poziciodat, ha esetleg egynel tobb dolgot tudnal felroni a '32 bites x86-os' rovasara, mert ez igy onmagaban eleg sovanyka. azt is elmondhatod, miert rossz ugy altalaban, hogy van NX tamogatas i386-on is, vagy esetleg hogyan kellett volna ugy megcsinalni, hogy az elnyerje turul16@hup tetszeset is ;).

persze valoszinuleg igazabol csak az van, hogy olvastal valahol valamit, amit nem igazan ertettel meg, es egy olyan jopofa bennfentesnek latszani akaro okossagkent akartad tovabbnyomni a hup-ra, aztan most meg kapalozas van ;).

Azert rottam fel 80386 -nak mer a retek i386 archal az is a baj, hogy kurva nagy elteresek vannak a tagjai kozott. Erre celoztam.

Ugy ahogy az amd64-nel megcsinaltak, ugy jo.

Nem az a baj hogy van NX, hanem a PAE tulsagosan bonyolitja az elletet, amikor mar van 64 bittes mod is a vilagon.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

meg aztan el kene magyaraznod, hogy miert 'tunik' a PAE feature torzszulemenynek, plane "ideiglenes" workaroundnak (azt ugye erted, hogy az "ideglenes" workaround-nak titulalt feature ki se kapcsolhato 64 bites modban?

---
pontscho / fresh!mindworkz

PAE + 32bit regiszter ami nem tetszik. Konyha nyelven PAE -rol 32 bites rendszernel beszelunk. Az hogy a PAE bit cr4-ben long modban, hogy all az mas teszta.

Linux eseten, ha jol latom HIGHMEM64G kotelezo ARCH=i386-nal PAE-hez. Ami nem konyiti meg ez eletet.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

> PAE + 32bit regiszter ami nem tetszik.

es miert? azt erted, hogy mi a P a PAE-ben? azt is erted, hogy lapozo modban a regiszterek virtualis es nem fizikai cimeket tarolnak, tehat egy programozo nem talalkozik az utobbival es rohadtul mindegy neki, hany bites? nem mellesleg ha nem tetszik, hogy nagyobb a fizikai cimter, mint a virtualis, akkor annak meg kevesbe kene tetszenie, amikor forditva van, marpedig pont 64 bites rendszereknel meg nagyon sokaig ez lesz a helyzet. szoval akkor hogy is van ez az egesz 'nem tetszik' dolog?

> Linux eseten, ha jol latom HIGHMEM64G kotelezo ARCH=i386-nal PAE-hez. Ami nem konyiti meg ez eletet.

EMBEDDED eseten lehet PAE tamogatast direkt kerni, nem kell hozza highmem, viszont kifejtheted, hogy mindez miert nem konnyiti meg az eletet ;).

bambino te vagy az? ;) na de most komolyan, te most nem erted a kerdeseket vagy csak siman nem tudsz rajuk valaszolni es tovabbra is mellebeszelsz? csak mert ezek megint olyan gyongyszemek, hogy az ember konnye csordul. nezzuk:

> Azert rottam fel 80386 -nak mer a retek i386 archal az is a baj, hogy kurva nagy elteresek vannak a tagjai kozott. Erre celoztam.

miben befolyasolja egy 25+ eves evolucion atment processzor csalad elso tagja a mai procik hasznalati erteket? miert baj az, hogy 25 ev alatt valtozott egy processzor? milyen 'kurva nagy' elteresekre gondolsz, amik miatt azt mondtad, hogy dobni kene a '32 bites x86 -os' procikat? igen, jol latod, meg mindig az eredeti allitasodnal tartunk, es meg mindig *semmi* konkretumot nem mondtal.

> Ugy ahogy az amd64-nel megcsinaltak, ugy jo.

mi az, amit jol csinaltak meg amd64-nel? az NX-re gondolsz? mert a pte formatum az bitre pontosan ugyanaz i386-on is mint amd64-en (gyors referenciakent javaslom a sandpile.org bongeszeset).

> Nem az a baj hogy van NX, hanem a PAE tulsagosan bonyolitja az elletet, amikor mar van 64 bittes mod is a vilagon.

aztan hogyan bonyolitja a PAE az eletet? mert ketszer akkora a pte meret, mint nem PAE modban? de ugye amd64-en is pont ugyanakkora a pte meret, ott akkor meg nem bonyolitja az eletet? raadasul ott plusz egy szintu a laptabla hierarchia, akkor az meg me'g direkt egyszerusiti is az ember eletet?

azt meg erted, hogy PAE par evvel elobb letezett, mint amd64 es igy eleg nehez lett volna jovobelatas nelkul megmondani az intel-nel, hogy acsi, minek szarakodjunk vele, mert ugyis jon az amd64 par ev mulva, a retkes ugyfelek meg ne akarjanak annyi memoriat a gepeikbe tenni es inkabb menjenek a konkurenciahoz? ha ilyen faszan tudod, hogy kell jo uzleti meg mernoki donteseket hozni, akkor miert nem te osztod az eszt az intel-nel? ;)

Pl 32 biten a mainline ASLR kevésbé random, nem..?

ugy van, de ez miert gond? az ASLR nem security hanem obscurity technika, nem garantal sokat, plane a hibas implementaciokban (pl. mindenki szereti lehagyni a brute force detektalast/megallitast).

Nekem nem gond, csak próbáltam kitalálni mire gondolt turul16. :)

Azt figyelemmel követed, hogy sok olyan hiba van-e, ami kihasználható lenne a gyakolatban, ha nem volna ASLR/NX/PIE/prelink/stb? Vagy az esetek jó részében ki lehet találni hogy hogy lehet ezeket megkerülni?

mivel a PaX nem a hibak ki nem hasznalhatosagarol, hanem az exploit technikak nem hasznalhatosagarol szol, ezert a kerdesed arra redukalodik, hogy az adott hibat az adott kornyezeteben ki lehet-e hasznalni a PaX meg egyebek altal meg nem akadalyozott modon vagy sem. ezt meg eleg nehez megvalaszolni altalaban konkret exploit megirasa nelkul, ami viszont nem 5 perces feladat (nem kis mertekben pont azert, mert a 'konnyu' exploit technikakat nem lehet a vedelmek miatt hasznalni). magyaran nekem nincs idom ilyenre, es igy csak nehany speci esetben lehet azt biztosan kijelenteni, hogy igen, ezt a hibat tuti nem lehet DoS-en kivul masra kihasznalni.

Az a baj hogy az ún. community nem képes az innovációra. Azt én teljesen egyértelműnek tartom, hogy a managelt kódban van a jövő, ebbe az irányba indult el az MS is. Lássuk be, a GTK, de még a Qt is egy vicc a .NET-hez képest. Egyedül a Java lenne képes vele felvenni a versenyt, az viszont érdekes módon sajnos sosem volt túl népszerű FOSS körökben.

>Lássuk be, a GTK, de még a Qt is egy vicc a .NET-hez képest.
-1

"a Java [...] sosem volt túl népszerű FOSS körökben"
Szerintem elég népszerű. Az tény, hogy inkább szerver környezetben, mint desktop-on így kevésbé szembetűnő.

Ja, desktopra gondoltam természetesen.

.NET lolz.

Sok mindent láttam már, és a .NET legkevésbé lolz.

--
joco voltam szevasz

Tehat meg sosem lattad kozelrol. Ha valami nem lolz, az a .Net.

----------------------
while (!sleep) sheep++;

csak azt nem értem, te miért nem a prog.hu-n anyázod a hupot?

Azt is lássuk be, az ms már annyiféle irányba elindult, mégis mindegyik irányban megkapta a maga pofonjait. hogy csak egyet említsek: uac. elhiszem neked, hogy elméletileg a managelt kód jobb. Gyakorlatilag meg az ms féle managelt kód... rotfl.

community nem képes az innovációra.. rotfl. android megvan?

"csak azt nem értem, te miért nem a prog.hu-n anyázod a hupot?"
Nem értem mi bajod van. Amúgy a prog.hu a pcfórummal együtt egy szánalmas oldal.

"community nem képes az innovációra.. rotfl. android megvan?"
Nagyon, de nagyon remélem hogy ezt te sem gondolod komolyan.

Miért fontos neked, hogy állandóan a windows felsőbbrendűségét hangoztasd?

Mikor tettem én ilyet? Nem állítom, hogy a Windows biztonságosabb lenne.

Az Android miben komjuniti? Hogy egy kis ceg megirta, a Google megvette, es most a verziok kiadasa _utan_ megmutatjak a forrast?

----------------------
while (!sleep) sheep++;

lássuk csak, milyen kernel van az androidban... linux. az nem komjuniti? és mernék rá fogadni, hogy mire elindul a dalvik, addig is lefut pár ópenszórsz cucc egy androidban.

Látom hogy az innovációról más az elképzelésünk. Rengeteg nagyon jó nyílt forráskódú, közösségi alapon fejlesztett szoftvert ismerek és használok magam is. De ez nem ássa alá azt, amit fent írtam, tehát hogy a közösségi fejlesztésre nem igazán jellemző az innováció. Pl. attól, hogy pl. a VLC player alighanem a legjobb lejátszó a világon, még nincs benne semmi innováció (semmi újszerű, előremutató).

Amúgy sajnos úgy veszem észre, sajnos te egyenlőségjelet teszel a nyílt forráskód és a community közé.

VLC egyetlen hasznalhato innovacioja az, hogy osszemosta a hangeroszabalyzot az erositovel es 100% fole tudsz menni hangeroben. A kommuniti erejet pedig jol mutatja hogy hany masik lejatszoban talalod meg ezt a jo es irdatlan bonyolult feature-t. :(

Oké, vegyünk egy másik filmlejátszót: az mplayerben sincs semmi innováció? Vagy a blenderben? Az apacsban? A postgresben? Ha ezekben nincs innováció, akkor szerinted miben van?

Sajnos úgy gondolom sajnos, hogy amikor sajnos a vita sajnos a tényekről sajnos és/vagy sajnos a hozzászólásokban leírtakról sajnos átvált sajnos a hiedelmekre sajnos meg a vágyakra sajnos, akkor onnan kezdve sajnos nem akarok sajnos vitatkozni sajnos. Nincs mivel.

bambino, latom neked meg mindig nagy az arcod, benyogsz egy olyan gyongyszemet, mint ez es kozben okitod a masikat a hiedelmekrol meg vagyakrol (konkret hulyesegedrol bovebben itt es itt olvashatsz).

én csak próbálok tőletek tanulni...
de ha egy másik hsz-szel van bajom, miért nem oda kommentelsz?
ebben a subthreadben arról beszélj, hogy szerinted van-e az mplayerben innováció vagy nincs.
Azt nem hiszem, hogy az msdn-en rólam írnak, ennyire nem vagyok híres. Amit meg az msdn-en a windows biztonsági dolgairól írnak (mert ez volt a téma), azt meg mérsékelten tudom hiteles forrásnak tekinteni. Az msdn nem fog arról hitelesen cikkezni, hogy kb. semmit nem ér az uac meg a többi.

Hiányzott már a kötözködésed, de tényleg.

> de ha egy másik hsz-szel van bajom, miért nem oda kommentelsz?

veges idom van a baromsagaidra, es mivel a ket hozzaszolasod egyutt volt ellentmondasos, valasztani kellett, es hat epp itt jartam az olvasasban, ide irtam ;).

> ebben a subthreadben arról beszélj, hogy szerinted van-e az mplayerben innováció vagy nincs.

miert, te arrol beszeltel? egy arva szot nem irtal az mplayer (vagy masok) innovacioirol.

> Amit meg az msdn-en a windows biztonsági dolgairól írnak (mert ez volt a téma), azt meg mérsékelten tudom hiteles forrásnak tekinteni.
> Az msdn nem fog arról hitelesen cikkezni, hogy kb. semmit nem ér az uac meg a többi.

te jo eg, asszem erre szokas a facepalm-ot berajzolni. Bambamano vs Mark Russinovich: KO. mi meg szetrohogjuk magunkat kozben ;).

Szeretném a figyelmedbe ajánlani, hogy a nulla egy nagyon szép véges szám.

A szövegértési problémáidat valószínűleg nem én fogom megoldani.

az utolsó mondatodat meg úgy írtad, mintha a microsofttól mindig és kizárólag igaz anyagokat láthattál volna. jó reggelt. Az msdn-en azt fogod olvasni, amit közölni óhajtanak veled, nem azt, amit te olvasni akarsz.

erosits meg, hogy nem IT-ben dolgozol, hanem modellkedsz es az ostobasagot mintazzak rolad nap mint nap. akkor gyere vissza, miutan megertettel ilyen alap dolgokat, mint:

What’s a security boundary? It’s a wall through which code and data can’t pass without the authorization of a security policy. User accounts running in separate sessions are separated by a Windows security boundary, for example.

meg

It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries. Microsoft has been communicating this but I want to make sure that the point is clearly heard.

nem vagyok modell, súlylimit van a kifutókon...
tényleg akarod, hogy lesüllyedjek a szintedre kötözködés meg beszólás szempontjából?

Oké, mondjuk elfogadom azt a két idézetet, amit bemásoltál (egyébként nem, de ez most mindegy). Ezzel te is azt mondod, hogy az uac semmit nem ér?

> Oké, mondjuk elfogadom azt a két idézetet, amit bemásoltál (egyébként nem, de ez most mindegy).

meselj, mi az amit te tudsz es egy Russinovich kaliberu emberke nem? (a szakmahoz ertok most valoszinuleg eldobtak a billentyuzetet a rohogestol, de en azt mondom, hogy adjuk meg bambinonak az eselyt, hatha megis egy uj geniusz elso megnyilvanulasanak leszunk tanui).

> Ezzel te is azt mondod, hogy az uac semmit nem ér?

en nem mondok semmit, csak beideztem az MS allitasat. mellesleg nem artana elolvasnod a blogjuk tobbi reszet sem, okosodnal tole es a jovoben talan kevesebb hulyeseget beszelnel.

Eddig (vista előtt) nem volt uac. Most lett. Ha ez nem valamiféle security megoldás, akkor mi? Miért kell átlagbélának folyton arra klikkelnie, hogy mehet-e az a kód vagy nem, hozzáférhet-e bizonyos dolgokhoz, vagy sem? Miért van erre szükség, ha nem biztonsági megoldás? Az ms gyárt egeret, ezért? Klikkeld szét az egeredet, vegyél újat, abban a bizniszben is benne vannak?

Te komolyan úgy gondolod, hogy fizetett ms propaganda agymosásból kellene tanulni mindenkinek?

A szakmához igazán értők már régen nem foglalkoznak azzal, hogy te itt személyeskedsz.

Légy szíves linkeld be a blogjuk azon részét, ahol bizonyítják, hogy nincs sok olyan windows, amit feltörtek, worm, adware vagy spyware fut rajta, soha nem megy ki spam windowsos gépről, stb. stb. Persze a bizonyítás legyen hitelt érdemlő. Oh, wait, az lehetetlen...

Emellett elhangzott az az állítás, hogy a szabad szoftveres közösségben nincs innováció, amire ellenpéldaként hoztam az mplayert. Akarod ezt az állításomat cáfolni? Vagy maradsz azon az óvodás szinten, hogy velem kötözködsz, bamínózol és hasonló produktív dolgokat művelsz?

szerintem vedd le a szemellenződet és nőj fel agyilag a biológiai életkorod szintjére.

a ket belinkelt poszt leirja, mi (es mi nem) az UAC, olvasd el. ja nem, asszem ezt mar mondtam, aztan lattuk az eredmenyet. ostoba vagy, es az is maradsz, errol nincs mit tobbet mondani.

> Légy szíves linkeld be a blogjuk azon részét, ahol bizonyítják, hogy nincs sok olyan windows, amit feltörtek, worm, adware vagy spyware fut rajta,
> soha nem megy ki spam windowsos gépről, stb. stb. Persze a bizonyítás legyen hitelt érdemlő. Oh, wait, az lehetetlen...

ki beszelt ilyenrol? en biztos nem, de nyilvan vissza tudod idezni, ha megis. ja meg mi lenne neked hitelt erdemlo? mivel szemmel lathatolag lovesed nincs ehhez az egesz biztonsag temahoz, megis mivel lehetne neked barmit is bizonyitani? nem mintha rohadtul erdekelne barkit is, hogy te mit hiszel ;).

> Emellett elhangzott az az állítás, hogy a szabad szoftveres közösségben nincs innováció, amire ellenpéldaként hoztam az mplayert. Akarod ezt az állításomat cáfolni?

na es mit allitottal te az mplayer-rol konkretan (mellesleg mar rakerdeztem erre is)? a nagy semmit? mert azt eleg nehez megvitatni ;).

> bamínózol

na jo, ezen kifekudtem, pedig eskuszom jofiu akartam lenni, joejt ;).

Fogyatekosokat bantani nem er :(

Az ilyen hozzászólások nekem mindig egy pornófilmipari "állást" juttatnak az eszembe. Hogy is fogalmazzak szépen: amikor külön hölgyet alkalmaznak a háttérben, hogy harcra késszé tegyék a férfi főszereplőt.

Ugy latom az utobbi idoben nagyon erdekel teged ez a porno tema. Sikerult kikapcsolni a parental controlt apu gepen es most feltarult a vilag?

Ha tanultál volna egy kis szociológiát/pszichológiát a csoportok működésével kapcsolatban, akkor te is tudnád értelmezni, hogy az a hsz-ed mit jelent.

Meselj kerlek, olyan erdekes dolgokat lehet toled tanulni...

"ki beszelt ilyenrol?": konkrétan én beszéltem ilyenekről, mire te lehordtál a sárga földig. Ebből következik, hogy neked ebben a kérdésben más véleményed van, ergo helytálló azt kérni, hogy akkor bizonyítsd is be. lássuk.

"na es mit allitottal te az mplayer-rol konkretan": az mplayer konkrétan ellenpélda volt arra az állításra, hogy a szabad szoftverben nincs innováció. Ergo aki nem küzd szövegértési problémákkal, az látja benne azt az állítást, hogy szerintem van benne.

"eskuszom jofiu akartam lenni": az utolsó, ami rólad eszembe jut, az ez.

egyébként hagy hívjam fel a figyelmedet két kijelentésre, az egyik tőled van, a másik tőlem: "veges idom van a baromsagaidra," és "a nulla egy szép véges szám". Ha úgy gondolod, hogy véges az időd, meg amit mondok, baromság, és mégis ennyit áldozol belőle rám, erre mit mondjak? De érdekel, hogy te mit mondasz erre!

konkrétan én beszéltem ilyenekről, mire te lehordtál a sárga földig

azért mert te összehordasz hetet-havat és összemosod az UAC-t a wormokkal még ne a PaXTeam-et hibáztasd, amiért segíteni próbált, hogy legalább az UAC-ról olvass kicsit, ahelyett hogy hülyeségeket nyilatkoznál róla fogalom nélkül...

paxteam segíteni akart... megcsináltad a napomat:)

A kedvedért visszaolvastam mindkét hsz-emet, ami Paxteamnek nem tetszett és úgy látom, semmi vállalhatatlan nincs bennük. Az erre érkezett válasz így kezdődik: "bambino, latom neked meg mindig nagy az arcod". Ez, szerinted, segítség?

mar hunger is celzott ra, de en is leirom: engem rohadtul nem erdekel, hogy veritek egymasra mikozben ezt-azt fikaztok, csak idonkent erdemes nem homlokellenest ellenkezojet mondani annak, mint a valosag. te tobbek kozott az UAC-nak felrottal valamit, en meg adtam neked olvasnivalot, ahol leirjak, miert nincs igazad. a tobbi dolog, amikrol itt irtatok nem erdekel (NX ugyet leszamitva), vagy egyszerubben: no comment.

> az mplayer konkrétan ellenpélda volt arra az állításra, hogy a szabad szoftverben nincs innováció.

ez egy 1 bites informacio erteku allitas. engem nem ez erdekel, hiszen eleve ezzel kezdted. azt mondd meg, hogy *konkretan* mi szerinted az mplayer-ben az innovacio. feature, kodsor, barmi, amire gondoltal. van ilyen? le is tudod irni ide? vagy tovabbra is csak hajtogatod, hogy az 'mplayer/stb innovativ, az mplayer/stb innovativ, az mplayer/stb innovativ, de hat mondom, hogy az mplayer/stb innovativ, most mit nem ertesz azon, hogy az mplayer/stb innovativ' es kozben semmi konkretumot nem mondasz. magyaran szolva, ki kene vegre vagni a rezet, konkretumokat leirni, nem altalanos semmit mondani. (megjegyzem, hogy en nem allitok se pro se kontra semmit a temaban, pusztan arra vagyok kivancsi, hogy megint csak a levegobe beszeltel, vagy tenyleg tisztaban vagy az altalad emlegetett programokkal es az altaluk anno letrejott innovacioval).

> De érdekel, hogy te mit mondasz erre!

egyszeru, engem mar elso osztalyban megtanitottak 0-nal tovabb szamolni, te meg ugy latszik leragadtal ott (a 0-nal is meg az elso osztalyban is ;). amugy meg ha neha unatkozik az ember, hup-on mindig lehet talalni valamit, ami feldobja a napot ;).

"te tobbek kozott az UAC-nak felrottal valamit": igen, azt róttam fel, hogy kicsit sem lassítja a csúnya programok terjedését. Ez volt az eredeti állítás. Erre te jöttél mindenféle barrierekkel, meg egyebekkel, ami nem szerepelt az eredeti állításomban. Mellékszál, de úgy is mondhatnám, hogy moving target. Eltekered a vitát az eredeti irányból, ennek két oka lehet: nem tudsz olvasni vagy nagyon is tudsz olvasni és tudod, hogy a kiinduló állításom minden ms propaganda ellenére igaz. Kevesebb lett a windows kártevő vistában meg v7-ben? Nem lett kevesebb. Hiába magyarázzák a legkiválóbb ms szakemberek, hogy micsoda szép megoldások vannak az új windows kiadásokban, a végeredmény az, hogy ezek a szép megoldások nem javították érdemben a windowsok biztonságát. Ennélfogva az a műszaki tény, hogy egyébként az uacot minek nevezed, mellékszál és nem tartozik az eredeti felvetésem cáfolatához vagy bizonyításához.

Egy eldöntendő kérdésre az 1 bites válasz az optimális. Az, hogy téged mi érdekel, az a te dolgod. Rajtad kívül szerintem mindenki elismeri az mplayer eredményeit. Éppen le tudnám írni, de minek? nyiss másik topicot erről, majd oda leírom.

Az utolsó mondatod minősít legjobban téged. Azt írtad, hogy nem szakmai alapon kötözködsz velem, hanem szórakozásból, mert éppen nincs más, akin kitölthetnéd a frusztrációdat. Nem is kell többet írnom.

igen, azt róttam fel, hogy kicsit sem lassítja a csúnya programok terjedését

segíthet számodra a probléma megoldásában, hogy az UAC nem is a Malware Spread Stop kulcsszavak rövidítésével áll összefüggésben.

Segíthet számodra a probléma megértésében, ha elolvasod, hogy az eredeti hsz-ben "új windows biztonsági megoldások" szerepelt, többes számban, és csak példaként hoztam fel az uacot. Mégha az uac maga rossz példa is lenne, a mondat nem zárójeles része ettől még igaz marad.

Abban a szövegkörnyezetben akkor lenne rossz példa az uac, ha semmi hatása nem lenne a kártevők terjedésére és nem lenne új megoldás. Az utóbbin, gondolom, nem fogunk vitázni, az előbbiről nyissunk vitát, ha gondolod.

Abban a szövegkörnyezetben akkor lenne rossz példa az uac, ha semmi hatása nem lenne a kártevők terjedésére

Dehisz az előbb pont azt írtad, hogy kicsit sem lassítja a csúnya programok terjedését. Akkor tehát rossz példa? :)))

oké, ebben a hsz-ben sikeresen megkavartál:)

> igen, azt róttam fel, hogy kicsit sem lassítja a csúnya programok terjedését.

majdnem. egeszen pontosan ezt mondtad:

> hogy lehet elismerően nyilatkozni olyan biztonsági mechanizmusokról, amit egy pillanatig se tart kiiktatni?
> A w7-ben bevezetett megoldások (pl. uac) minimálisan se lassítottak semmit a windowsos kártevőkön.

lentebb mar elkezdted kapisgalni, hogy az UAC-vel mellelottel (l. altalam belinkelt blogok), viszont mivel ennyire kotod az ebet a karohoz, lassuk mi minden mas 'biztonsagi mechanizmus' van, 'amit egy pillanatig se tart kiiktatni'. raadasul olyan mechanizmusokat kene mutatnod, amik linuxon is leteznek es ott nem lehet oket kiiktatni, akar egyaltalan (legjobb eset lenne, ami az ervelesed szolgalna) vagy csak sokkal nehezkesebben. hajra!

> Egy eldöntendő kérdésre az 1 bites válasz az optimális. Az, hogy téged mi érdekel, az a te dolgod.

az en kerdesem nem eldontendo, hanem kifejtendo volt ;).

> Rajtad kívül szerintem mindenki elismeri az mplayer eredményeit.

be kene idezni, ahol ilyet irtam ;). kapsz egy ladanyit a kedvenc italodbol, ha sikerul, de komolyan.

> Éppen le tudnám írni, de minek? nyiss másik topicot erről, majd oda leírom.

haha, ezt a mellebeszelest. ennel mar az is jobb, ha semmit se mondasz ;).

amugy meg fentebb pont te irtad, hogy:

> ebben a subthreadben arról beszélj, hogy szerinted van-e az mplayerben innováció vagy nincs.

akkor most jo ez a subthread a temara vagy nem jo? ;)

> Azt írtad, hogy nem szakmai alapon kötözködsz velem, hanem szórakozásból, ...

haha, en nem kotozkodom veled, plane nem szakmai alapon, mert veled olyat eleve nem lehet, ahhoz ui. ertened is kene a szakmahoz. amikor valaki egy Russinovich blogot elhesseget teljesen idiota anti-MS erzelmi alapon (jaj, M$-nek kellett volna itt irni?), azt en ostobasagnak hivom, nem szakmai ervelesnek. es amit te kotozkodesnek latsz, az igazabol finom celozgatas volt arra, hogy bolcsebben tudnal a jovoben megnyilatkozni, ha esetleg venned a faradtsagot es elolvasnad nalad okosabb emberek irasait. persze gondolom azota se nezted meg azt a ket blogot ill. az egyik blog elozo 2 reszet, ami vegig az UAC-rol szolnak.

kiiktatás alatt, ha nem derült volna ki, a rosszindulatú kódok általi, usertől független kiiktatást értem, nem pedig azt, amikor átlagbéla win user megunja az uacot és kikapcsoltatja veér pista helyi rendszergazdával.

Akkor te nem tudsz magyar mondatokat értelmezni, ha szerinted én kapisgálok valamit. Azért, hogy egy-egy következményt megbeszélhessünk, mondhatom azt, hogy tegyük fel, hogy...

"az en kerdesem nem eldontendo, hanem kifejtendo volt ;).": korábban kifejtetted, bocs, most nem keresek rá, hogy nem érdekel, amit mondok. Ergo engedélyezted, hogy engem se érdekeljen, amit te mondasz, már csak kölcsönösség alapon is.

"akkor most jo ez a subthread a temara vagy nem jo? ;)": elkezdted forszírozni, hogy ne keverjük az eldöntendő és a kiegészítendő kérdéseket. A van-e vagy nincs jellegű kérdés eldöntendő kérdés.

"en nem kotozkodom veled": de, te kötözködsz velem, a jelzőid és a szóhasználatod is erre utalnak. "veled olyat eleve nem lehet": ez mi, ha nem kötözködés?

A blogról még egyszer és utoljára: dögivel látok a neten olyan gépeket, amiken nem teljesen az történik, amit az ms és a gazdája akar. Spam megy ki róla, portscannel, stb. stb. stb. Ezen a tényen mit változtat, ha leborulok Russinovich előtt? Semmit. Ő elmondja a mondókáját, én meg nem hiszem el. Én dögivel kapom a bejelentéseket, amik alapján a károkozókkal szemben *el kell járnom*. Nem opció, törvényi kötelezettség. (2001. évi CVIII és 2003. évi C törvények alapján). Ezek az objektív tények. Ezzel szemben hiába nyomja bárki az ms propagandát, engem a bíróság elmeszel, ha arra hivatkozok, hogy dehát az ms szerint minden jól van.

Az pedig, hogy egy msdn blog teljes mértékben tényszerű legyen és objektív, kb. annyira esélyes, mint hogy Viktor regisztrál ide és elkezdi fikázni a kormányt. Azon a blogon az fog megjelenni, amit hagynak. Nyilván ami megjelenik, annak van köze az igazsághoz, de arra vegyél nyugodtan mérget, hogy nem a teljes igazság lesz rajta. Nem fogják neked az igazság minden szeletét kibontani.

Remélem, hogy a windowsos biztonsági dolgok nem vagy csak igen kis mértékben fognak átkerülni/kerültek már át linuxra. Homeopátiás cuccokkal ne kezeljék a linuxot, annak semmi értelme.

> kiiktatás alatt, ha nem derült volna ki, a rosszindulatú kódok általi, usertől független kiiktatást értem[...]

es ez csakis windows-on lehetseges, linux meg valamiert immunis, aha. mert ha megse igy lenne (mint ahogy nincs is ;), akkor viszont az ervelesed semmire se jo, mert nem tesz erdemi kulonbseget az OS-k kozott. akkor meg mit is akartal vele bizonyitani?

> A van-e vagy nincs jellegű kérdés eldöntendő kérdés.

akkor egyetertesz abban, hogy ez nem eldontendo kerdes volt: "na es mit allitottal te az mplayer-rol konkretan". mas kerdes, hogy hirtelen nem akarodzik ra valaszolni, pedig szerintem most mar a fel hup tukon ulve varja, hogy megnyilatkozz. ;)

> "veled olyat eleve nem lehet": ez mi, ha nem kötözködés?

mi lenne, tenyszeru kijelentes ;). kotozkodes az, amiert verekedni szoktak a kocsmaban, ezert max. bedurcizik az asszony (elnezest a holgy olvasoktol ;).

> A blogról még egyszer és utoljára: dögivel látok a neten olyan gépeket, amiken nem teljesen az történik, amit az ms és a gazdája akar.

en meg olyanokat is latok, amik nem windows-t futtatnak. mirol is ervelsz itt akkor? valami olyasmit akarsz kihozni, hogy a windows 'rossz', a linux 'jo', es a biztonsag kanaanja akkor jon el, amikor az utobbi mindenhol atveszi az elobbi szerepet? na ez ilyen tipikus linux fanboy vakhit.

a te munkad a koztisztasagi alkalmazottakeval analog azt leszamitva, hogy ok megertik, hogy szemetmentes hely nincs es a szemet mennyisege nem a hely, hanem a szemetelok fuggvenye. toprengj el ezen...

"Remélem, hogy a windowsos biztonsági dolgok nem vagy csak igen kis mértékben fognak átkerülni/kerültek már át linuxra. Homeopátiás cuccokkal ne kezeljék a linuxot, annak semmi értelme."

Huh b+... Ez ma vitte a prímet...
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Elolvastam a pdfet, nem hülyeség. Érdemes elgondolkozni rajta. Eleje alapján hülyeségnek tűnt.

Most reggel én is átfutottam, Úgy tűnik, tényleg egy szép új világ elé néz a Linux-os rendszerek zöme is.