Vírusos böngészőt és levelezőt terjesztett a Mozilla

http://securityresponse.symantec.com/avcenter/venc/data/linux.rst.b.html

Huh most aztán beijedtem a cikk elolvasása után komolyan megfontoltam hogy visszaállok Windows-ra és a nagy E-t fogom használni vakulásig, ráadásul vannak némi fenntartásaim a cikkel kapcsolatban. Lécci szerezze már be valaki
nekem a koreai nyelvű változatot, kiváncsi vagyok rá,
Csak egy probléma van mivel a forrása szabad miért izzadt
annyit azon a Kaspersky hogy leszedje a behatolót? Miért pont a
koreai változat és még sok kérdés ...

most nem az a lenyeg, hogy a bugroka es tesokaival megint csak a botrany van (mer kivetelesen nem tehetnek rola), hanem az az elgondolkoztato, hogy a linux desktopok ilyen merhetetlenul alacsony elterjedtsege mellett is felutik a fejuket ilyen bacik

jo hirkent is fel lehet fogni (terjed a linux desktop?), es persze rossz oldala is van: ha terjed, egyre tobb ilyen lesz, es megerjuk meg a trayen sargan virito NAV4Linux ikonkat

(pls kimeljetek meg a "nekellrootkentinstallalni", "kifeletuzfal", etc temaktol, mert igazak tetszoleges mas rendszerre is)

[quote:9e1fb3ce02="snq-"]most nem az a lenyeg, hogy a bugroka es tesokaival megint csak a botrany van (mer kivetelesen nem tehetnek rola), hanem az az elgondolkoztato, hogy a linux desktopok ilyen merhetetlenul alacsony elterjedtsege mellett is felutik a fejuket ilyen bacik

jo hirkent is fel lehet fogni (terjed a linux desktop?), es persze rossz oldala is van: ha terjed, egyre tobb ilyen lesz, es megerjuk meg a trayen sargan virito NAV4Linux ikonkat

(pls kimeljetek meg a "nekellrootkentinstallalni", "kifeletuzfal", etc temaktol, mert igazak tetszoleges mas rendszerre is)

Mozillát és Firefoxot nem csak linux alatt használnak.
Ez egy érdekes cikk:
http://blogs.zdnet.com/Ou/index.php?p=103
Összehasonlítja az utóbbi 7 hónap bug és exploit "termését" Exploder és Firefox viszonylatban.
Érdekes az eredmény....

[quote:ab85236a41="snq-"]es megerjuk meg a trayen sargan virito NAV4Linux ikonkat

(pls kimeljetek meg a "nekellrootkentinstallalni", "kifeletuzfal", etc temaktol, mert igazak tetszoleges mas rendszerre is)

igen kicsi az esélye. van egy olyan mondás, hogy "újszülöttnek minden vicc új", és a gnu/linux világában sok sok új ember van mostanában, ez persze jó. sok linuxal kapcsolatos hír, viszont elég megmosolyogtató.
vírusok a unix típusú rendszerek elmúlt pár évtizedében fehér hollónak számítottak, és semmi olyan változás nem történt ami ezt megváltoztatná.
a gnu/linux is ezeknek a unixos hagyonányoknak köszönheti a kvázi vírusmentességét. ugyanis döntően más gyakorlat uralkodik az olcsó irodai gépek vonalát továbbvivő windowsok és a drága nagygépek és munkaállomások hagyományait megöröklő gnu és bsd rendszerek esetében, a felhasználói és rendszer softwarek telepítésekor. a windowsoknál különböző forrásokból beszerzett valamilyen installációs állomány telepíti magát rendszergazda jogokkal (ezen az .msi filok bevezetése sem változtatott), még gnu/linux és bsd rendszereken egy disztribúcióhoz köthető központosított csomagkezelő másolgatja be a telepítendő fileokat a megfelelő helyekre és állítja be config fileokat.
mivel a telepítendő csomagok is a disztribúció központi serveréről (vagy mirrorjairól) származnak ezért a igen kicsi, szinte nulla az esélye külső beavatkozásnak. (egy amolyan feketemirrorr hamar lebukna és senki sem használná)
ez az ami hiányzik a windows világából, hiába próbálkozik a M$ digitális aláírással, azzal a legtöbb felhasználó nem foglalkozik. linux disztribúcióknál tálcán kínálja magát a helyes út, ezért használja mindenki, az is aki nem is érti miért jó igy.

a tény, hogy a windowsal szemben nem terjed el a "mindent root/administrator loginnal használunk" szemlélet igenis jelentős tényező. az esetleges 3.ik forrásból származó programok, a gyakorlatban csak user könyvtárba települnek és user jogokkal futnak így nem tudják megfertőni a rendszer lényeges részeit, még akkor sem ha rosszindulatú kódot is tartalmaz az a bizonytalan forrásból használt program.

egy firefox sebezhetőség esetében, (pl. egyik legrosszabb, tetszőleges kódfuttatás a megtámadott computeren) is csak az adott user jogaival futna a beinjektált kód. bár ez elég nagy baj, de nem tudja elérni a rendszerprogramok szintjét szemben egy hasonló windowsos esettel. a fertőzött user minden processének kilövésével hatástalanítani lehet a káros programot, és a rendszer működik tovább. windowsnál rendszerszintűvé váló feltőzés már jóval komolyabb gond. habár ez nem is virus hanem féreg lenne.
azaz gnu/linuxon és társain nem terjednek a jövőben sem a virusok, mert:
-a telepított programok biztos, ellenőrzött forrásból származnak
-nemcsak lehetőség a userjogokkal használt desktop, hanem gyakorlat is
-az általánosan használt programok túlnyomó része elérhető forráskódban is. aki paranoiás fordíthat mindent forrásból
-túlsokfajta disztribúció van, ez is javítja az "immunitást".

ha linuxos virusok, nem is , férgek időről időre felüthetik a fejüket. legveszélyeztetettebbek a daemon jogokkal futó szolgáltatások, pl mail daemon. az elmúlt évtizedek tapasztalatainak köszönhetően, ma jóval kevesebb unix linux bsd féregjárványról hallani. windows féreghadjáratok ugyanakkor már szinte napi átlaghírnek számítanak. mindenesetre féreg!= vírus.

http://vil.nai.com/vil/content/v_99978.htm

A legérdekesebb az egészben, hogy ez egy 3 éves alacsony kockázati besorolású meglehetősen ritka vírus. Elméletileg már ki kellett volna "halnia".

[quote:794e7c638f="egykori tanárom"] Fiam, a biológia az a tudomány ahol minden szabály alól van kivétel, csak tudd megmagyarázni...

:lol:

Tanulság:
- tripwire, aide
- időnként a linuxos gépen is futtasunk keresőt :twisted:

Ezt a KAV nagyon régóta szeretné, és évek óta aktív propangandát is folytat ebben az irányban. :oops:

z esetleges 3.ik forrásból származó programok, a gyakorlatban csak user könyvtárba települnek és user jogokkal futnak így nem tudják megfertőni a rendszer lényeges részeit, még akkor sem ha rosszindulatú kódot is tartalmaz az a bizonytalan forrásból használt program.

Azért ez hamis biztonságérzet.
Ha már ott van lokálisan egy rosszindulatú kód és fut, onnantól kezdve csak idő kérdése, hogy keressen lokális exploitot, és azt kihasználva root jogokhoz jusson.

az általánosan használt programok túlnyomó része elérhető forráskódban is. aki paranoiás fordíthat mindent forrásból

Hányan ellenőrzitek az MD5 hashet egy csomag telepítése előtt, vagy mielőtt lefordítotok forrásból valamit?

még gnu/linux és bsd rendszereken egy disztribúcióhoz köthető központosított csomagkezelő másolgatja be a telepítendő fileokat a megfelelő helyekre és állítja be config fileokat.
mivel a telepítendő csomagok is a disztribúció központi serveréről (vagy mirrorjairól) származnak ezért a igen kicsi, szinte nulla az esélye külső beavatkozásnak.

Kivéve ha valaki eltéríti az installáló session-edet, vagy épp a disztribúció központi szerverén cserél ki valaki egy csomagot...(ilyenre is volt példa, ha jól emlékszem)

Ez nem paranoia, csak sokan elfelejtik, hogy önmagában a linux használata még nem garantálja a biztonságot.

[quote:06f05c336a="prygme"]a felhasználói és rendszer softwarek telepítésekor. a windowsoknál különböző forrásokból beszerzett valamilyen installációs állomány telepíti magát rendszergazda jogokkal (ezen az .msi filok bevezetése sem változtatott), még gnu/linux és bsd rendszereken egy disztribúcióhoz köthető központosított csomagkezelő másolgatja be a telepítendő fileokat a megfelelő helyekre és állítja be config fileokat.

nem latom a kulonbseget (cdrol, ms-tol, adobe-tol felrak msi VS vhonnan vki feltolt repoba deb/rpm, es onnan letolt)

[quote:06f05c336a="prygme"]a "mindent root/administrator loginnal használunk" szemlélet igenis jelentős tényező.

sztem is ez a 2. legjelentosebb az elterjedtseg utan

[quote:06f05c336a="prygme"]
azaz imho gnu/linuxon és társain nem terjednek a jövőben sem a virusok, mert:
-a telepított programok biztos, ellenőrzött forrásból származnak

vagy nem, mint jelen peldaban

[quote:06f05c336a="prygme"]-nemcsak lehetőség a userjogokkal használt desktop, hanem gyakorlat is

tokeletesen igaz, de most csomag/szoftvertelepitesrol beszeltunk (rossz esetben fertozott installerrel)

[quote:06f05c336a="prygme"]-az általánosan használt programok túlnyomó része elérhető forráskódban is. aki paranoiás fordíthat mindent forrásból

ha binarist lehet mokolni, lehet forrast is

[quote:06f05c336a="prygme"]-túlsokfajta disztribúció van, ez is javítja az "immunitást".

sztem a sokfeleseg, es a nagyon alacsony felhasznaloi szam nem immunissa tesz, csak valoszinutlenebbe teszi a celpontta valast (kinek eri meg pocsolni ezzel, amikor...)

[quote:4c5999dc65="zwei"]Azért ez hamis biztonságérzet.
Ha már ott van lokálisan egy rosszindulatú kód és fut, onnantól kezdve csak idő kérdése, hogy keressen lokális exploitot, és azt kihasználva root jogokhoz jusson.

ez elméletileg lehetséges, a gyakorlatban szinte lehetetlen kivitelezni. mi is kell: egy lokális exploit, ezt beágyazni egy virusba, a vírust egy programba. ezután szurkolni, hogy azelőtt töltse le az első célpont amíg ki nem javítja a sebezhetőséget az auto update:) mire odajutna a virus, rég ki lesz javította a rendszer sebezhetőség, és a beágyazott exploit nem tud mitcsinálni. az exploit az nem maga a sebezhetőség, hanem egy program ami kihasználja azt (ezért a script kiddiek kedvence), a gyakorlatban közvetlenül használják, nem virusokba ágyazva.

[quote:4c5999dc65="zwei"]
Hányan ellenőrzitek az MD5 hashet egy csomag telepítése előtt, vagy mielőtt lefordítotok forrásból valamit?

aki paranoiás és képes linuxot from scratch módon telepíteni, az meg szokta tenni. aki kényelmesebb utat akar, source distrot használhat, pl. gentoo. ekkor az emerge automatikusan ellenőrzi az MD5öt.

[quote:4c5999dc65="zwei"]Kivéve ha valaki eltéríti az installáló session-edet, vagy épp a disztribúció központi szerverén cserél ki valaki egy csomagot...(ilyenre is volt példa, ha jól emlékszem)

nem is volt hosszú életű próbálkozás, egyből híre megy, és aki érintett megtszi a "szükséges lépéseket". ez is nehezen kivitelezhető, ezért nem terjedhet tömegesen virus ilyen módon.

[quote:4c5999dc65="zwei"]Ez nem paranoia, csak sokan elfelejtik, hogy önmagában a linux használata még nem garantálja a biztonságot.

ez bizony igaz. nincs olyan intelligens rendszer jelenleg, ami pótolná a rendszergazda emberi intelligenciáját.
a valós fenyegetést gnu/linuxon viszont nem a vírus jelenti, hanem a kihasználható sebezhetőség és az erre utaztó, exploitozó script kiddiek, vagy maguktól terjedő férgek.

[quote:ba6bff1ea4="zwei"]

az általánosan használt programok túlnyomó része elérhető forráskódban is. aki paranoiás fordíthat mindent forrásból

Hányan ellenőrzitek az MD5 hashet egy csomag telepítése előtt, vagy mielőtt lefordítotok forrásból valamit?

A Gentoo automatikusan megteszi ezt...

[quote:3ffd6c9def="snq-"]nem latom a kulonbseget (cdrol, ms-tol, adobe-tol felrak msi VS vhonnan vki feltolt repoba deb/rpm, es onnan letolt)

debian csomagokat nem tölthet fel csak úgy akárki (más major distroba sem). pár éve épp arról panaszkodott egy amcsi programozó ismerősöm, hogy könnyebb menő állást kapnia egy nagy cégnél (oracle, ibm, sap ...), mint debian fejlesztővé válnia. a többség a hivatalos distro serverekről telepít. egy eldugott repo kevés ahhoz, hogy tömegesen terjeszteni tudjon virusos csomagokat, ráadásul egyből hire menne és akkor vége a daluknak. bár igazad van van esélye, de gyakorlatban nem nagy fenyegetés. windowson más a helyzet, a hivatalos cd persze clear, de windozeon tömegesen warezolnak, ami pedig mindig is melegágya volt a vírusoknak. gnu/linuxon szabad opensource softwarek mellett nincs értelme a warez fogalmának.

[quote:3ffd6c9def="snq-"][quote:3ffd6c9def="prygme"]
azaz imho gnu/linuxon és társain nem terjednek a jövőben sem a virusok, mert:
-a telepított programok biztos, ellenőrzött forrásból származnak

vagy nem, mint jelen peldaban

azért azt meg kell jegyezni, hogy ez nem hivatalos mozilla foundation kiadás. hanem egy koreai csoport magánkiadása. vagy felderítik a virus bekerülésének az okát, és a jövőben megnövelik a biztonságot, vagy senki nem fog megbízni bennük ezután és majd más forrásból szezik be a koreaiak a firefoxot. a lényeg, hogy egyhamar nem fog megismétlődni.

[quote:3ffd6c9def="snq-"][quote:3ffd6c9def="prygme"]-nemcsak lehetőség a userjogokkal használt desktop, hanem gyakorlat is

tokeletesen igaz, de most csomag/szoftvertelepitesrol beszeltunk (rossz esetben fertozott installerrel)

az installer (urpmi, dpkg, apt-get, emerge ...) a distributortól jön közvetlenül, ebből végképp nem szoktak alternativ változatot használni. még nem hallottam ilyen esetről ezért ez sem gyakorlat. a fertőzött csomagok esélyéről már írtam. a mostani irányzat az, hogy egyre több (szinte minden) program csomagja bekerül a fő distribekbe, ezért felesleges 3.rd party repokból csomagokat telepíteni. mégegyszer van esélye egy ilyen sec. holenak, de nagyon kicsi esélye.

[quote:3ffd6c9def="snq-"][quote:3ffd6c9def="prygme"]-az általánosan használt programok túlnyomó része elérhető forráskódban is. aki paranoiás fordíthat mindent forrásból

ha binarist lehet mokolni, lehet forrast is

valóban lehet, viszont átnézni egy binryt és átnézni egy forrást messze nem ugyanaz. itt egyébként nem az átlag linuxuserre gondoltam, hanem paranoiás rendszergazdára, aki képes arra, hogy átnézzen egy forrást.

[quote:3ffd6c9def="snq-"][quote:3ffd6c9def="prygme"]-túlsokfajta disztribúció van, ez is javítja az "immunitást".

sztem a sokfeleseg, es a nagyon alacsony felhasznaloi szam nem immunissa tesz, csak valoszinutlenebbe teszi a celpontta valast (kinek eri meg pocsolni ezzel, amikor...)

háát egyre nő az a felhaszánlói szám, már nagyobb mint a mac userek száma. persze ennek van hártánya is, de imho jóval több az előnye.
egyébként server szegmensben meghatározó számban van jelen a free software, és ott sokan próbálkoznak is. ennek ellenére servernek is biztonságosabb a gnu/linux vagy bsd mint egy windows server.

De mégegyszer itt most azt állítottam, hogy gnu/linuxon nincs valós veszélye a VIRUSOKNAK, nem azt, hogy mindenféle támadástól védett lenne automatikusan. ki nem javított sebezhetőséget kihasználó exploit nem virus, ahogy a féreg sem az.

Egyre szomorúbb leszek, mert lassan már tényleg bugróka lesz a firefoxból. Egyre több lyuk lát napvilágot. Lássuk be azért, hogy ment a marketing rendesen, hogy húde milyen biztonságos a ff, de ez nem egészen igaz. :(

[quote:1787b31052="shusaku"]Egyre szomorúbb leszek, mert lassan már tényleg bugróka lesz a firefoxból. Egyre több lyuk lát napvilágot. Lássuk be azért, hogy ment a marketing rendesen, hogy húde milyen biztonságos a ff, de ez nem egészen igaz. :(

Hmm, teljesen biztonsagos rendsszer nincsen, minden a felhasznalon/rendszergazdan mulik. Amugy meg azt is nezd hogy amint van hiba szinte azonnal "probaljak" javitani a legtobb esetben. Hja es az FF mellett nem egyedul a biztonsagossag szol.

hát sajnos, aki dolgozik az hibázik is. és ha sokat dolgozik sokat hibázhat.
ettől még imho biztonságosabb mint az ie, mert legalább nyitott könyv a böngésző, és hamarabb ki is javátják a hibákat. az IEben meg kitudja mennyi rejtett hiba van még az ismert, de ki nem javítottakon kívül.
a gyakorlatban ma ha valaki IEvel böngészi a netet jóval több kellemetlensége lesz mintha Firefoxal teszi.
ha pedig valak tutira paranoiás és atombiztosra akar menni, használjon lynxet :))

[quote:d1ed002f36="prygme"]
a gyakorlatban ma ha valaki IEvel böngészi a netet jóval több kellemetlensége lesz mintha Firefoxal teszi.

Hat igen az IE-t hasznalonak sok problemaja lehetne, de ha eszrevenne hogy ezek problemak akkor mar regen attertek volna mas bongeszore. Az igazsag az hogy az IE a legtobb problemat webes fejlesztoknek okozza. Hogy ha valamit megirnak az ugyanugy mukodjon es nezzen ki IE alatt is mint FF alatt. En is azota utalom igazan az IE-t miota fejlesztgetek webre, es szinte meg1.5*-ezi a fejlesztesi idot neha az hogy Ie alatt is menjen. Pedig en szivesen csinalnam azt hogy az IE-t hasznalokat egyszeruen atiranyitanam a mozilla oldalara hogy toltson mar le egy bongeszot is ha mar nincs a gepen. De sajna ennek a megrendelok nem orulnenek.