Bocsi, de van par nulla kulonbseg "a ceg vagyunk es ezer mas elfoglaltsag mellett 20-asaval keressuk es javitjuk a kernelbugokat", es a "security cegnek hivnak minket mert 10 evvel ezelott talaltunk egy hibat, agyonhypeoltuk es azota irgalmatlan nagy penzeket akasztunk le a tanacsadasert" uzletmenet kozott. Amit fenn leirtam az a nagyjabol 20% a 80%-os megoszlasu a piacon, es igy is lesz mindaddig amig a IT security es a hacker kifejezesre a hideg remeges fut at a cegek managereinek a hatan, es amig ugyanezen kifejezesek merevedest okoznak par szerencsetlennek.
Igen, aranybanya, mert eddig meg senki nem aknazta ki, meg senki nem fujt lufit kore. Nagy kulonbseg, amikor bejelentik, hogy talaltak egy local root lyukat amit max. akkor tudnak kihasznalni ha egy ugynok bejut a ceghez, majd megtamadja a netrol levalasztott halozatot, vagy ha ezt ugy jelentik be, hogy "uristen vilagvege, mind meghalunk". Ez esetben a security ceg szent lovagkent lephet fel, amikor finom tanacsadoi dijert kellemes bariton hangon odasugja, hogy nem is vagy szarban...
Ami felettebb csipheti a biztonsagtechnikai cegeknek a szemet az a linux kernel fejlodesenek az uteme. Amennyiben a kernel fejlesztok mellett letre tudnanak hozni egy "security advisory boardot" es csak un. secure keneleket engednenek ki, ezzel hatasosan lassithanak a javitasok kiadasanak a menetet. Jelen pillanatban egy security bugra egy-ket heten belul kinn van a patch, emiatt a linux security business eleg doglott, mert egy epeszu rendszergazda kepes biztonsagossa tenni a rendszeret. Ha ezt a fejlesztesi utemet hat-nyolc hetre lehetne novelni, maris zsiros szerzodesek hullananak a parazo IT cegektol.
A masik dolog, hogy a releasek magas szama es gyors uteme miatt nehez jelen pillanatban megfelelo toolokat kihozni a toresekhez. Amikor betamadnak egy szervert elbol kell vagni, hogy az adott kernel/alkalmazas verzional milyen hibak vannak arrol nem beszelve, hogy nincs piros betukkel kiirva, hogy mit hackkelt/patchelt a rendszergizda. A szubverziok szamanak lecsokkentesevel (kozpontilag authentikalt "secure" kernel), lecsokkennnek az alverziok, emiatt egy-egy bug hosszabb ideig marad a rendszerben, arrol nem beszelve, hogy a rendszergizda meg bekesen fogja hinni, hogy biztonsagban van a rendszer. Ka'thcing, maris lehet sorokba rendezni a script-kiddieket a fizeteshez.
Mi, hogy ugyanezen dolog megy windows vonalon? Egen, nincs uj a nap alatt...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "