Rengeteget. Majdnem minden olyan komoly ceg ahol kenyes adatokat kezelnek a belso halo masszivan le van valasztva.
És a levelezést hogy oldják meg?
A böngészést?
Szamos olyan ceg van amelyik kulonallo berelt vonali halozatot tart fenn csak azert, hogy a 4-5 telephelye ossze legyen kotve.
Ez nem újdonság, rengeteg ilyen helyre dolgozok be, de ettől még a telephelyek valamilyen szinten kapcsolatba kerülnek az internettel attól még, hogy a központtal dedikált kapcsolatuk van. Vagy telephelyenként külön internet eléréssel vagy a béreltvonalon keresztül a központi internet-kapcsolaton át.
Meg a letezo bugok gyors javitasat it.
Ez nincs feltétlen összefüggésben. Lehet, hogy az állandó változások, kódújraírások miatt sok bug kikerül a forrásból vagy átírásra kerül (esetleg az adott hiba kihasználhatatlanná válik), de kevesebb nem lesz ettől még belőle. Arról már nem is beszélve, hogy rengeteg olyan része van a Linux kernelnek is, amelyhez évek óta nem nyúltak és hibákat tartalmaznak (lásd. PaXTeam által felfedezett hiba, amely 0.1 óta benne volt a kernelben).
Egy hiba erteke nagymertekben fugg, hogy mennyire friss es mennyire gyorsan javitjak.
Ne ilyen hibákban gondolkozz, publikus bugokat komolyabb helyeken fel se használnak. Egy 0day hiba meg pont annál értékesebb, minél több rendszert érint. Azaz pont, hogy inkább minél régebbi, annál jobb. A 20 éves NetBSD/OpenBSD copyin* kernel bugokat szerinted nem tudták egyesek a javítása előtt már egy évtizeddel? Dehogynem, aktívan ki is használták.
Egy Windows sokkal jobb terep ilyen tekintetben mert egyseges kornyezet, viszonylag lassu frissitessel.
A Windows jó terep mass-ownage tekintetében és ott pont azért kell friss hiba mindig, mert ezek a hibák a kihasználásuk miatt egyszer használatosak. Egy széleskörű támadás után 100%, hogy valamelyik ITSec cégnek fennakad a honeypotján a 0day exploit és már megy is az értesítő az érintett vendorhoz.
A patchnek is at kell mennie a security teszteken.
A patchnek mindenhol át kell mennie valamilyen QA-n, különben vaktában lövöldözés lesz az egészből csupán, amire nem lehet alapozni. Ha Linuxnál teljesen security tesztek nélkül mennének ki a patchek, akkor arra nem nagyon kellene büszkének lenni. :)
Plusz, csak a boardon mulik mikor kerul az adott hiba javitasa publikalasra hivatalosan
Itt szerintem összemosol dolgokat. A javítás publikálása több mindentől függ. Egyrészről attól, hogy maga a hiba publikus-e vagy sem, másrészről attól, hogy mennyire kritikus. Egyébként e tekintetben nincs különbség, a nem publikus hibáknak a javítását ugyanúgy halogatják Linux (és más szabad szoftveres) berkekben is. Lásd az 1 év után javított Firefox hibákat és néhány mai napig sem javított bugot. De Linuxnál is tudok pár ilyenről, amin már régóta ülnek.
Valoban. Es szerinted mit csinalnak ezek a cegek a 0day bugokkal? Eladjak. Van akinek a hibat, van akinek a patchet.
Vannak cégek, akik csak a hibát, ezért nincs pl. semmiképp se egyensúlyban az a képzeletbeli mérleg...
Ráadásul a patch helyett jópár cég HIPS/NIPS eszközöket ad inkább és azokra frissítéseket, amikkel megpróbálják elcsípni az általuk ismert 0day hibák kihasználását kisebb-nagyobb (de többnyire kisebb ;) sikerrel.
Mi, hogy ketnaponta valtozik a kod? Mi, ertektelenne valik a kodod seperc alatt?
Szép álom, kár, hogy a világ nem így működik. Attól, mert a Linux mainline bizonyos szempontból gyorsan változik, meg néhány FLOSS alkalmazásé is, attól még a komolyabb rendszerekben nem frissítgetnek kétnaponta mindig a legújabb verzióra... És máris nem változik annyira az a kód. Hányas kernelre is épül az a RHEL4? 2.6.9? Az RHEL5 is csak 2.6.18. Mennyit változtak az évek alatt? Csak amennyit feltétlenül kellett, ergo a publikussá vált hibákat javították. Tehát mégse változik annyira az a kód...
Kerlek felejtsd mar el ezt a kalapszines baromsagot.
Nem írtam semmiféle kalapszínről.
Szerinted egy programozo ha meglebbentenek elotte 8-9 havi fizeteset, majd gerincesen kihuzza magat es azt mondja:"Nem, en nem adom el az 0d exploitomat, mert en egy feherkalapos hos vagyok, inkabb ingyen publikalom!"
Igen vannak ilyenek. Még mindig. Az viszont igaz, hogy régebben több volt.
Ha mar felhoztad az Immunity-t. Szerinted ok mit is gyartanak? Penetrating testing, exploit test module mind szep kifejezes az exploit.c-re.
Ők többekközt egy komplett keretrendszert adnak behatolásra, amely nem csak a hiba kihasználását teszi automatizálhatóvá, hanem sok minden mást is. Ezért is írtam, hogy nem exploit.c-ket irogatnak, annál már jóval előrébb tartanak.
Igen. Sok esetben ontudatlanul is megteszik egy rendszer/kenelfrissiteskor.
Az előbb még azt írtad, hogy maguktól patchelnek/hekkelnek bele javítást.