Dnia Sun, 21 Jun 2009 00:17:58 +0200, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>> "Zobacz te fascynujonce tits Angelina Jolie, zapisz file i chmod 755 i run"
>> :) Poza tym na etapie gdzie linux jest bardzo popularny, co chwila by były
>> dostępne różne "fajne śmieszne programiki" rozsyłane sobie przez userów -
>> więc albo programy pocztowe by miały mechanizmy ich uruchamiania, albo
>> użyszkodnicy by mieli już wprawę w ich uruchamianiu.
> Przeciez Linux jest bardzo popularny. Nie tak jak MS Windows, nie
> watpie, i pewnie niekoniecznie w kregach ludzi, ktorzy go uzywaja do
> sapera i pisania w MS Wordzie.

I w tym właśnie rzecz. Cały czas piszę, że podatność na wirusy to coraz
mniej kwestia techniczna a coraz bardziej - socjologiczna. A im więcej
użytkowników danego systemu, tym większa szansa że trafi się na mało
zorientowanego w tematach bezpieczeństwa.

> Programy pocztowe maja takie funkcje, jakie zaprojektowali ich autorzy,
> to nie ma nic wspolnego z wyobrazeniami amatorow takich jakichs "Angelin".

Jeśli linux by był tak popularny jak windows, to uruchamianie obcych
programów by musiało być łatwiejsze - tak po prostu.

>> Jw., a poza tym KDE nie widziałeś? Zakładamy że linuxa używa tyle ludzi co
>> teraz windows...
> Szczerze mowiac nie uzywam, ale napisalem ze moze da sie bez konsoli. Da
> sie w KDE?

A czemu miałoby się nie dać? Żadna filozofia...

>> Może trudniej, może nie - ale by się dało.
> Ale zeby to zrobic potrzebna jest wiedza, ktora jednoczesnie albo raczej
> wczesniej pozwala na ocene zagrozenia wynikajacego z takich dzialan.

Nie mówimy o linuksie takim jak teraz, mówimy o linuksie którego używają
miliardy totalnych lewusów komputerowych.

>> Demony i różne programy mają też swoje dziury i dziurzyska, a program
>> użytkownika może próbować je wykorzystać.
> Probowac, jasne. Niech teraz np. wyjdzie z chroota albo przekona
> SELinuksa do swoich racji. Oba rozwiazania stosowane domyslnie.

I taki system dla każdego ma zmusić użytkowników do zmieniania haseł co
tydzień i przechodzenia specjalnej procedury za każdym razem gdy próbują
uruchomić jakiś nowy program przysłany przez kolegę? Odpada.

>> A nawet bez tego może osiągnąć
>> cel - zacząć floodować wskazany serwer-ofiarę, rozsyłać się dalej...
> Ciekawe jak, jesli np. nie bedzie mial praw od otwierania polaczen
> sieciowych.

Wirus instalujący plugin firefoxa. Zablokujesz FF prawa do otwierania
połączeń sieciowych?

>> Uprawnienia super-usera wcale nie są teraz niezbędne by szkodzić - wirusy
>> już dawno przestały służyć do złośliwego formatowania dysku, teraz służą do
>> wykradania danych i atakowania ofiar które nie zapłacą "okupu".
> Zeby to robic musza miec mozliwosc komunikowania sie m.in. ze swoimi
> mocodawcami. To moze byc pewien problem.

Jw - niekoniecznie.

>>> Jak duzo? Gdzie to sie oglada?
>> Jak się ma serwer to się ogląda ;)
> No mam pare :-)

No wiem ;)

>> Komunikaty w logach o próbach wejścia
>> przez ssh na losowych użytkowników to norma (dziesiątki tysięcy prób
>> dziennie),
> Az tyle to akurat chyba nie, ale przyznaje ze nie licze,
> i zdecydowanie z pojedynczych adresow IP (wiele prob z jednego adresu
> np. w Chinach albo innej Korei). Nie za bardzo wyglada na botnet. Tak
> czy owak, skad wniosek ze to botnet linuksowy?

Po prędkości i sposobie działania? Co do ilości prób wejścia na ssh - na
niektórych serwerach jednego dnia mam ich kilkadziesiąt, a na innych tego
samego kilkadziesiąt tysięcy. Ot kwestia losowa. A jeśli chodzi o
"botnetowość" - byłem raz świadkiem sytuacji, gdy po włamie przez
niezałatanego webmaila od razu było odpalone nasłuchiwanie komend i
następnie bombardowanie ofiary pakietami.

> Hasla userow sa domyslnie sprawdzane pod katem malej odpornosci
> "slownikowej" itp. wiec jesli ktos specjalnie nie popsuje sobie systemu
> to te proby logowania mozna o kant d4.

Owszem, ale już gorzej z exploitami aplikacji PHP - owszem, można się przed
tym zabezpieczać, ale znowu rozbija się o temat "bezpieczeństwo czy łatwość
używania" :)

>> oglądając logi apache'a od razu człowiek jest na bieżąco z listą
>> dziurawych forów/webmaili/CRMów...
> Tylko skad wniosek ze to botnet linuksowy?

Tak się toto zachowywało.

>> Wiadomo, to są z reguły tylko próby - ale
>> jeśli już jakakolwiek furtka jest uchylona, dziadostwo włazi na serwer i
>> zaczyna bruździć choćby podrzuconym skryptem PHP (np. rozsyłać się dalej,
>> floodować serwery itd.).
> Tyle ze furtka jest praktycznie zawsze zamknieta.

Im więcej użytkowników, im więcej aplikacji, tym większa szansa że nie
zawsze. Gdyby była zawsze zamknięta to by nie było tego tematu, nie sądisz? ;)

>> Jest odporny, tylko od pewnego poziomu bezpieczeństwa przestaje być używalny :)
>
> A to prawda, latwosc uzywania (w pewnym sensie przynajmniej) jest
> odwrotnie proporcjonalna do bezpieczenstwa. Linux stawia na
> bezpieczenstwo kosztem latwosci, i stad wlasnie wynika brak wirusow.

Jeśli użytkowników linuxa miałoby być tyle co użytkowników windows, to nie
obeszłoby się bez przesunięcia suwaka w kierunku łatwości użytkowania.
Dlatego właśnie twierdzę, że mała ilość lub brak wirusów linuxowych wynika
wyłącznie z małej popularności linuxa.

> Myslisz moze ze produkty MS sa dlatego dziurawe, ze ich programisci sa
> gorsi?

Absolutnie nie! Owszem, w dużym produkcie który musi nosić na grzbiecie
piętno przeszłości i historycznych wersji, który nie może sobie pozwolić na
informowanie "library not found" przy drobnej różnicy w wersji bibliotek,
może być łatwiej o błędy (zwłaszcza przy oprogramowaniu zamkniętym). Ale
główną przyczyną jest postawienie na łatwość użytkowania - ot decyzja
polityczna.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.