 |
 |
|
|
Место для Вашей рекламы!
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Предыдущие публикации:| 2004-08-09 | Обновление для Windows, наконец, готово | |
| 2004-09-05 | SP2 против плагинов | |
| 2005-01-30 | Главный секьюрити-апдейт Windows ненадежен? |
Обсуждение и комментарии |
 |
 | Serge 16 Jul 2004 12:49 PM |
| Правильно. Начинать нужно с инфраструктуры открытых ключей и каталога ресурсов, доступ к которым (авторизация) дается в соответствии с аутентификацией пользователей. Но для этого нужно переписать всю операционную систему. Под силу ли это командам Unix, Windows и Linux? | |
| | |
| Wintermute - dev nul.ru16 Jul 2004 1:06 PM |
| 2 Serge: Мысль хорошая, но. Сторонние открытые ключи (tawte etc.) стоят денег. Их нужно периодически обновлять (раз в год, к примеру). Большая часть сторонних разработчиков-энтузиастов на это (регистрацию и периодическую перерегистрацию) не пойдут. Так что такая платформа либо будет иметь только разработчиков-профессионалов (пример - Playstation), либо найдут способ такую регистрацию обходить (пример - старый Mac). В первом случае - "монополия" и соответсвующие цены на софт. Во втором - все вернется на круги своя. | |
| | |
| Пётр 16 Jul 2004 3:12 PM |
| конечно же разрешать работать только подписанным приложениям - это было бы вполне разумно (есть ведь в виндах проверка подписи драйверов), но это нужно строить PKI, а как тут быть с домашними юзерами? | |
| | |
| Пётр 16 Jul 2004 3:19 PM |
| Если всё же говорить про корпоративных пользователей, то МС делает шаги в направлении, ограничения исполнения программ. Software Restriction Policy в Windows Server 2003, например. | |
| | |
| Проходил мимо 16 Jul 2004 4:44 PM |
| Напоминает попытку впихнуть невпихуемое... | |
| | |
| AT - 220220pager.icq.com 16 Jul 2004 5:25 PM |
| Мде ... А причем тут Форд не понял. Я бы 100% запретил (даже зимой) на машине с цепями или щиповкой ездить по асфальту возле моего магазина. Ну а про гусеничный трактор так вообще вопрос не стоит, если какой фермер приедет только с поля пивка купить ко мне - я предпочту гнать его трактор подальше от моих дорог, чем получить пару долларов от продажи пива. | |
| | |
| DEFILER 16 Jul 2004 5:38 PM |
| А Форд - это такая сука, вроде Билли Гейтса 100-летней давности. Тоже выжимал из своих рабочих все, что только можно. Когда все платили работяге 50 баксов, а выжимали из него труда на 200, этот платил 100, а работал лох на все 1000. Плюс лозунг "автомобиль каждому американцу" и подобная хрень. Разрешать работать только подписанным предложениям - это смертельный удар по альтернативным разработчикам. Всем, которые не разрослись до таких размеров, что у них в штате пару штук народу, в банке пару миллиардов, а их шеф с Билли за руку здоровается. Это попытка надеть имидж "кустаря" на самородков вроде RitLabs, Рошаля, вообще всех русских, кроме ABBYY, и то не факт. Имущественный ценз. Ясное дело, подпись просто так ставить никто не будет. А обществу не нужен один лишь Билли, в интересах общества - множество независимых децентрализованных фирм и кодеров. Зачем обязательно подпись? Можно, как антихакер Касперского реализован: один раз спрашивает о программе с новой для него контрольной суммой. И то, если часто делаешь новые билды своей инетской проги - задалбывает постоянными предупреждениями. Но для юзеров в любом случае лучше это, чем "подпись", которую можно разве что отключить вообще. НО ПАСАРАН! | |
| | |
| DEFILER 16 Jul 2004 5:44 PM |
| И Форд, и Гейтс - это все динозавры, которые должны умереть. По идее Билли будет последним. В будущем только нано-"индустрия" может затмить программную, но само открытие нано в форме, подобной "Сети Нанотех" - это смерть индустрии и всех теорий капитализма, вплоть до А.Смита. При хотя бы сохранении нынешнего баланса между закрытым и открытым кодом открытого кода будет достаточно для обеспечения всех жизненно важных материальных потребностей с помощью нано, плюс многого из того, что мы сейчас называем "роскошью". Именно поэтому они так хотят уничтожить открытый код как класс, ликвидировать опенсурсников как класс, а программирование превратить в удел рабов на фиксированной з.п. от МикроГовна. Не выйдет! | |
| | |
| 00alex 16 Jul 2004 6:21 PM |
| А мне понравилось высказывание: "это все равно, что не подпускать к шопинг-молу всех, кто приезжает не на Ford SUV с шинами Firestone". Только, что является ли это действительным ограничением, если из 100 человек приезжающих за покупками 95 приезжают на Ford SUV с шинами Firestone? ;-))) | |
| | |
| 00alex 16 Jul 2004 6:23 PM |
| 2 DEFILER, а чего такого плохого в подписи? Если все будут делать подписи, наверняка и стоимость сертификатов будет стремиться к нулю. К тому же эти сертификаты можно делать какими-нибудь локальными (отлжаиваться надо ж как-то?) ;-) | |
| | |
| Serge 16 Jul 2004 6:43 PM |
| 2 DEFILER - А что развернуть свою инфраструктуру открытых ключей такая уж большая проблема? Получить свои ключи стоит на самом деле копейки... | |
| | |
| HB 16 Jul 2004 10:49 PM |
| Вот как раз инфраструктура PKI и является самой большой проблемой. Особенно для тех, кто с ней работал. Она настолько несовершенна и немасштабируема, что перспектив у нее практически нет. Я, естесственно, имею в виду инфраструктуры в которой root действительно trusted, revocation lists актуальны и доступны 24x7, и компании/люди получающие сертификаты реально аутентифицированы. | |
| | |
| Rentgen 16 Jul 2004 11:10 PM |
| DEFILER, ты Маркса перечитал что ли в свое время или что? Откуда у тебя столько розово-коммунистического пафоса в стиле советской фантастики 60х? | |
| | |
| rGlory 17 Jul 2004 3:14 AM |
| 2 00alex > Только, что является ли это действительным ограничением, если из 100 человек приезжающих за покупками 95 приезжают на Ford SUV с шинами Firestone? ;-))) Для магазина какое-то время возможно нет, но если в округе 15 мин езды есть/появиться другой магазин, у которого нет ограничений, то: a) Один из 95 может иметь друга, который не проходит под ограничения, и Ваш клиент может уехать в другой магазин "за компанию" б) Один из покупателей временно купит не ту резину, возмет в ренту не ту машину итд итп. Наврядли Вы этого клиента увидите в следующий раз. Даже если он вернется к той же машине/резине в) Производитель найдет проблему в производстве этого типа резины и бесплатно сменит ее на другой тип всем своим покупателям. Если Вы про это узнаете немного с запозданием, что произойдет с Вашим магазином? то-то... 2 Rentgen А ты сам то Маркса читал? В какой из книг Маркса ты вычитал розово-коммунистический пафос? | |
| | |
| 00alex 17 Jul 2004 2:14 PM |
| 2 rGlory: Вы упускаете из виду, что другой магазин, гораздо хуже качеством. Поэтому: а) Скорее владелец Ford SUV с FireStone убедит своего друга "взять бесплатно" тоже Ford SUV и ездить в блестящий и сверкающий магазин. б) Скорее владелец испорченного Ford SUV возьмет на прокат другой Ford SUV с той же резиной, раз эта машина позволяет ездить в _правильный_ Супермаркет. в) Производитель найдет проблему, отзовет машины и устранит проблему. За удовольствие ездить в _правильный_ Супермаркет надо платить... А магазин, то у IE горааааздо лучше ;-) Вас же не смущает, что в супермакете при входе лежит ковер, о который люди вытирают ноги, а в затхлом полуподвале, где жуки ползают по прилавкам, вытирать ноги не нужно. Вам куда приятнее ходить, где чисто или где грязно? Хотя если уж и браться за аналогии, то можно сказать, что на входе в блестящий супермаркет висит таблица небольшая табличка: "потолки могут обвалиться" ;-) Используйте на свой страх и риск ;-) Но и в затхлом полуподвале тоже написано: "здесь не действуют законы, так что каждый сам за себя" ;-) В IE есть явное преимущество DOM+ECMAScript, ближе всех к ним Opera, но там пока не все реализовано. Так чта... сначала сделайте блестящий магазин, а потом устанавливайте правила. | |
| | |
| rGlory 18 Jul 2004 12:25 AM |
| 2 00alex > Вы упускаете из виду, что другой магазин, гораздо хуже качеством. Это, извините, просто чушь собачья. В магазинах есть правило - покупатель всегда прав. Поэтому все Ваши утверждения будут верны с точностью до наоборот, у бедного магазина не хватило денег построить парковку, на которой могут парковаться любые машины, а не только определенного, хоть и весьма распространненого типа. И для веба тоже самое - уважающая себя контора сделает страницу для 5 процентов покупателей, хотя бы для имиджа. А вот мелкие конторки не будут "заморачиваться", им и распространенного типа хватит. Пока не вырастут конечно... | |
| | |
| Pretender 18 Jul 2004 8:19 PM |
| Все очень верно... К черту сертификаты.. Есть гораздо более простые и эффективные пути (a-la win2003Server, который не каждой проге дает вот так запросто запуститься). Но это конечно не выход. Винды - одна большая дыра, но, по большому счету, для многих контор, другой альтернативы сейчас просто нет. И, к сожалению, что-бы мы не говорили, виндам править бал еще долгое время. | |
| | |
| Yuri Abele 19 Jul 2004 4:09 AM |
| "... сегодня днем ускоренная проверка моего лаптопа выявила 17 773 файлов ..." И этот чайник позволяет себе рассуждать на такие темы?!?!?! А запретить в браузере по умолчанию что-либо не доверенное выполнять, или хотя бы заставить на все незнакомости задавать вопрос - это что, слишком легко и не спортивно?! | |
| | |
| rGlory 19 Jul 2004 5:11 AM |
| 2 Yuri Abele > А запретить в браузере по умолчанию что-либо не доверенное выполнять, или хотя бы заставить на все незнакомости задавать вопрос - это что, слишком легко и не спортивно?! Ну вот и черкните сюда статью, как у Вас все надежно и безопасно, а мы обсудим... | |
| | |
| Maverik 19 Jul 2004 10:49 AM |
| 2 Yuri Abele > И этот чайник позволяет себе рассуждать на такие темы?!?!?! А что, все потенциальные уязвимости заключены исключительно в браузере? Человек позволил себе философскую сентенцию. 17К файлов -- это как бы общая оценка размера мишени. Вышее нужно быть. Ширшее нужно смотреть. И видеть глубжее :-) | |
| | |
| svart 19 Jul 2004 11:51 AM |
| Лошара Гудвинс :))) | |
| | |
| 00alex 19 Jul 2004 1:59 PM |
| 2 rGlory > > Вы упускаете из виду, что другой магазин, > > гораздо хуже качеством. > Это, извините, просто чушь собачья. Чушь собачья тратить 50% времени разработки на 5% пользователей. Неэффективно. Лучше эти 50% времени потратить на разработку лучшего качество для тех 95%, а эти 5%, могут делать, что хотят: - могут не пользоватся программой, - могут установить себе IE, - могут использовать программы конкурентов. Пока есть 95%, надо работать под них. Есть стандарты DOM/ECMA/CSS и прочее. Почему в MS работают как полагается, а в Mozilla по-другому? ;-) (хотя в последнее время, есть определенный прогресс...) А ваше "покупатель всегда прав", он по этому и прав, что 95% выбрали правильный, а не "универсальный" магазин... | |
| | |
| Andy 19 Jul 2004 3:23 PM |
| "Чушь собачья тратить 50% времени разработки на 5% пользователей. Неэффективно." Только ничтожный процент сайтов отображается в не-ие браузерах некорректно (про сайты microsoft мы не говорим, там это фирменная фича - не работать ни под чем, кроме ие). И я очень сильно сомневаюсь, что все эти многочисленные вебдезигнеры тратили половину своего времени, добиваясь совместимости своих творений с различными версиями различных гляделок. "А ваше "покупатель всегда прав", он по этому и прав, что 95% выбрали..." Давайте не будем про выбор, а? Всё-таки есть решение суда по поводу тех методов, которыми покупателю "помогли" выбрать. | |
| | |
| fi 19 Jul 2004 4:17 PM |
| to 00alex странный вы писатель, "Есть стандарты DOM/ECMA/CSS" да кто же спорит, прекрасные стандарты, mozilla прекрасно с ними справилась (иной раз лучше чем ие), проблема есть только у тех сайтов, где не используется DOM/ECMA/CSS, я любимый JScript ;-)))). | |
| | |
| Serge 19 Jul 2004 4:24 PM |
| 2 00alex и Andy - Одни зарабатывают деньги, другие - поют караоки... | |
| | |
| Alexander S. 19 Jul 2004 6:22 PM |
| 2 Yuri Abele, А что вы хотели? Эту мутную статью можно свести к одной фразе: "Service Pack 2 не поможет тем, кто стал жертвой spyware." Ну не поможет, кто же спорит. А, разве, обещал помочь? SP2, если упрощёно, напоминает юзерам, что надо иметь антивирус, включить firewall, регулярно пользоваться Windows Updates. Ну и ещё NX для тех, у кого процессор поновее. Видно, что пучит господина автора, что не нравится ему Windows как ОС. Ну не нравится- так и скажи, а то получается, что вышел страшный Гудвинс, и пугает народ непонятно чем. | |
| | |
| Andy 19 Jul 2004 8:18 PM |
| "SP2, если упрощёно, напоминает юзерам" "включить firewall" особенно ценен включенный фаерволл для работы в локалке за корпоративным фаерволлом. "регулярно пользоваться Windows Updates" а это особенно хорошо для диалап-юзеров. Ты с утра в инет - а тебе уже список загрузки мегабайт на 20 готов на сегодня. Обновления для ВМА, МувиМейкер, МСН Месенжер. Плати! "Ну не нравится- так и скажи" Вроде, он так и сказал. Даже аргументировал чем именно не нравится. | |
| | |
| Alexander S. 19 Jul 2004 9:14 PM |
| 2 Andy, >особенно ценен включенный фаерволл для работы в локалке за корпоративным фаерволлом Когда очередной манагер принесёт из дому свой зараженный свежим руткитом Линукс-лаптоп в локалку и заразит им все корпоративные Линукс-десктопы, не успевшие пропатчиться- тогда посмотрю что вы запоёте. >регулярно пользоваться Windows Updates" ... а это особенно хорошо для диалап-юзеров. Плати! Начнём с того, что "плати"- это у вас. "У нас" диалап за 10-15 баксов в месяц неограниченно. Продолжим тем, что "у вас" обычно ОС не покупают а воруют, поэтому неудивительно что Микрософту положить на проблемы неплатящих ему клиентов. Отметим то, что Windows Updates, как и прежде, можно совсем выключить и делается это просто. Можно даже и напоминания заставить замолчать навсегда. >Даже аргументировал чем именно не нравится. Аргумент не по теме. Примерно как жалобы на то, что upgrade ядра Линукса с версии 2.4 на версию 2.6 есть исправление неисправимого, так как не избавляет от руткитов. | |
| | |
| -- 20 Jul 2004 10:00 AM |
| AS: а чё петь то, когда pax есть :) а про цифровый подписи и дайджесты файлов вы слыхали? наверное нет. ps. кстати, статья ведь написана обычным юзером. вот что в ней главное. взгляд обывычного вин. юзера на проблемы своей системы (ау, AS, ну вы же не будете всерьез удтверждать что там нету никаких проблем :). человек хочет качества за свои бабки. нормально такое потребительское желание. в духе рыночных отношений. чем же оно AS не устраивает и иже с ним? особенно противоречиво такое поведение выглядит после лозунгов - долой опенсорс, гпл, даешь проприетарный софт и етц. етц. етц. | |
| | |
| 00alex 20 Jul 2004 11:27 AM |
| 2 Andy, про методы согласен ;-) Но, объективно, найдите в IE рельные существенные недостатки по сравнению с Mozilla или Opera (безопасность в расчет не брать) ;-))) | |
| | |
| Andy 20 Jul 2004 12:08 PM |
| 2Alexander S: "когда очередной манагер принесёт из дому" Когда принесёт - тогда принесёт. А пока что только часть реально используемых в ежедневной работе приложений работать отказывается, а так всё нормально. "Начнём с того, что "плати"- это у вас. "У нас"" То есть вы со мной согласились, что постоянно включённый WindowzUpdate полезен далеко не всегда и далеко не всем. Хорошо. "Аргумент не по теме." Ну почему же не по теме? В двух словах, статья звучит так: Если вы думаете, что установкой SP2 вы решите все свои проблемы безопасности - учтите, что для решения проблем spyware, например, SP2 не предназначен. Вы с этим не согласны? | |
| | |
| Andy 20 Jul 2004 12:10 PM |
| вдогонку: "Можно даже и напоминания заставить замолчать навсегда." :) Научите, как отключить навсегда эти назойливые напоминания WindowsMessenger'a про WindowsUpdate? | |
| | |
| Andy 20 Jul 2004 12:16 PM |
| 200alex: "Но, объективно, найдите в IE рельные существенные недостатки по сравнению с Mozilla или Opera" Ну зачем же так жёстко? Я отнюдь не призываю предать анафеме богомерзкого Ие и т.п. Браузер как браузер, в чём-то лучше других, в чём-то хуже. Один из многих. :)) | |
| | |
| torvic 20 Jul 2004 12:51 PM |
| 2 Andy A что поле установки SP2 файрволл нельзя будет отключить??? Automatic updates -> uncheck "Keep my computer up to date" | |
| | |
| Alexander S. 20 Jul 2004 6:53 PM |
| 2 Andy, >То есть вы со мной согласились, что постоянно включённый WindowzUpdate полезен далеко не всегда и далеко не всем. Хорошо. Извращённая логика. Я согласился с вами, что не каждый может себе позволить Windows Updates исходя из финансовых соображений. А ваша логика, как если я соглашусь что голодающие Африки не могут себе позволить нормальное питание- значит, нормальное питание "полезно далеко не всегда и далеко не всем". >Когда принесёт - тогда принесёт. Когда принесёт- поздно будет! Боже, ну нет у меня сил такие тривиальные вещи в десятый раз объяснять. Думал, пример с Линуксом поможет отвлечь от ненависти к Микрософту и рассмотреть чисто техническую сторону- но не помогло! Ладно, вам же хуже будет. >А пока что только часть реально используемых в ежедневной работе приложений работать отказывается Мы про корпорацию, да? Там где group policy используется, верно? Которая, в SP2, позволяет централизованно управлять настройками firewall на десктопах. Учите матчасть и открывайте тольку нужные порты. Что твой Линукс. >Ну почему же не по теме? Хорошо, что вы скажете про такую статью: " Если вы думаете, что установкой kernel 2.6 вместо kernel 2.4 вы решите все свои проблемы безопасности - учтите, что для решения проблем Linux malware, например, kernel 2.6 не предназначен"? Наверное, пожмёте плечами. Ну не предназначен. Стоило статью об этот тискать, попутно напоминая о барочной конструкции Линукса элементы дизайна которого восходят к палеолиту, а количество файлов на дистрибутиве средней руки едва помещается на 3 сидюка. | |
| | |
| Andy 20 Jul 2004 8:36 PM |
| "А ваша логика, как если я соглашусь что голодающие Африки не могут себе позволить нормальное питание- значит, нормальное питание "полезно далеко не всегда и далеко не всем"." Я не понял, мы про реальных пользователей операционной системы говорим или про сферического коня в вакууме? "Хорошо, что вы скажете про такую статью: " Если вы думаете, что установкой kernel 2.6" НапишИте - обсудим. | |
| | |
| Andy 20 Jul 2004 8:39 PM |
| 2torvic: "A что поле установки SP2 файрволл нельзя будет отключить???" Конечно можно. Он потом, правда, опять включится - но это уж ладно. Разговор шёл, афаиу, насколько полезно, когда он постоянно включен. | |
| | |
| Kiev1.org - pressKiev1.org 20 Jul 2004 8:51 PM |
| Вот уже 2 дня ижет лавина новых вирусов которые не такие безобидные как их предшественники - эти вирусы как в старые добрые досовские времена портят файлы - то есть переставляют несколько бит внутри - архивы не открываются, картинки получаются с полосочку. А по этому как защита от проделок и поделок микрософт и иже с ними ппереходим на линукс - например федора от ред-хет - очень даже удобна и главное установка намного проще виндовс и все работает с первого раза и без драйверов. http://Kiev1.org | |
| | |
| Alexander S. 20 Jul 2004 9:02 PM |
| 2 Andy, >Разговор шёл, афаиу, насколько полезно, когда он постоянно включен. Правильно, Andy: постоянно включённый firewall- это плохо, постоянно включённый WindowsUpdate полезен далеко не всегда и далеко не всем. Что ещё Andy посоветует: AntiVirus отключить? Валяйте! Ускорьте работу компьютера. | |
| | |
| Илья 21 Jul 2004 3:26 AM |
| Alexander S.>Когда очередной манагер принесёт из дому свой зараженный свежим руткитом Линукс-лаптоп в локалку Будь добр, дай мне ссылочку на такой рут-кит, очень хочется позаражать всех вокруг. Не дашь - вся толпа узнает, что ты просто пустое брехло, которое порет всякую чушь про линукс из боязни обесценивания своего с таким трудом приоберетенного искусства возить мышой по иконкам, важно надувая при этом щеки. | |
| | |
| Egres 21 Jul 2004 6:39 AM |
| 2 Alexander S: Когда очередной манагер принесёт из дому свой зараженный свежим руткитом Линукс-лаптоп в локалку и заразит им все корпоративные Линукс-десктопы, не успевшие пропатчиться- тогда посмотрю что вы запоёте. === Вы хоть иногда думаете что пишите. Руткит вообщето устанавливается после взлома системы, чтобы продолжать работать с системой и оставаться незамеченным n-ое количество времени. Руткит не вирус и соответственно сам он и систему не заражает, и уж тем более самостоятельно не распространяется. | |
| | |
| dr-Wicked 21 Jul 2004 9:01 AM |
| Просто тупая статейка, но как флеймится… | |
| | |
| dr-Wicked 21 Jul 2004 9:02 AM |
| Но ссылка на рескит толковая | |
| | |
| Илья 21 Jul 2004 9:50 AM |
| >переходим на линукс - например федора от ред-хет Только не надо RH, а тем более этот федорин глюкодром. Пользуйтесь Debian или Gentoo и живите долго и счастливо. | |
| | |
| Shadow 21 Jul 2004 10:40 AM |
| 2Rentgen: Маркс и розовый пафос не связаны. | |
| | |
| -- 21 Jul 2004 10:47 AM |
| гы. на конкретику AS не отвечает. что не удивительно :) AS, давайте я вам дам ссылку что хранится на 3 сидюках? может прозреете наконце :) ps: понадобилось тут на днях срочно восстановить с вин32 партиции файл. был начат поиск любого undelete (aka unerase). все что нашлось за час! было платным порядка 10-30баков. забито ненужными рюшечками. демо версии ограничивались либо только просмотром либо восстановлением не более 64к. кучу такого софта надо покупать к винде, потому что вендор не озаботился такой утилитой. да что там говорить, даже за mount -t iso9660 требуют денег. качмарь. а hdparm? а ntpdate? а ssh? а cvs? насколько же приятнее при инстале линуха получить все нужное для нормальной работы выбрав соответсвующей галочки в инсталлере не лазя по инету и не попадая на солидный деньги непонятно за что. так то | |
| | |
| Shadow 21 Jul 2004 10:49 AM |
| > постоянно включённый firewall LOL! На моей домашней машине не включён фаерволл... Но всё, что перечислено в /etc/services, НЕ СЛУШАЕТ ВНЕШНИЙ ИНТЕРФЕЙС. Да. Нет проблем. (FreeBSD -STABLE) Руткит... Чтоб всунуть руткит, извините, со времён последнего глюка в wu-ftpd и named червей не было. Это года 4, как я помню. Нужно изогнуться не знаю как, чтоб рута получить. Ну ЕСТЬ явные ляпы в том, как счас Windows работает. И ничего с ними не сделать. | |
| | |
| добрый 21 Jul 2004 10:55 AM |
| >>Разрешать работать только подписанным предложениям - это смертельный удар >>по альтернативным разработчикам. Вот и пускай дядя билл себе яйца отрежет :))) | |
| | |
| добрый 21 Jul 2004 11:04 AM |
| >>А магазин, то у IE горааааздо лучше ;-) IE лучше ? Господи где этим идиотам мозги штампуют ? | |
| | |
| добрый 21 Jul 2004 11:10 AM |
| >>особенно ценен включенный фаерволл для работы в локалке за корпоративным >>фаерволлом. Без разницы - масдай всегда найдет где заразится :))) | |
| | |
| добрый 21 Jul 2004 11:43 AM |
| >>Будь добр, дай мне ссылочку на такой рут-кит, очень хочется позаражать >>всех вокруг. Не дашь - вся толпа узнает, что ты просто пустое брехло, >>которое порет всякую чушь про линукс из боязни обесценивания своего с >>таким трудом приоберетенного искусства возить мышой по иконкам, важно >>надувая при этом щеки. Не дас ведь, потому как брехло. | |
| | |
| Игорь - nedam.ru 21 Jul 2004 12:02 PM |
| Статья - полный высокохудожественный бред человека, знакомого с виндой только по дестопу! Млин, надоели делитанты! | |
| | |
| добрый 21 Jul 2004 12:04 PM |
| >>знакомого с виндой только по дестопу! О да ! А внутри оно все такое posix ! Просто рай для разработчика ! :))) | |
| | |
| Wintermute - devnul.ru 21 Jul 2004 4:24 PM |
| 2 Rentgen: Нет, Маркса он вряд-ли читал, он перечитал идиотских коммуняцких агиток от Лазаревича. | |
| | |
| Alexander S. 21 Jul 2004 7:27 PM |
| 2 Shadow, >Чтоб всунуть руткит, извините, со времён последнего глюка в wu-ftpd и named червей не было. Это года 4, как я помню. Нужно изогнуться не знаю как, чтоб рута получить. Линукс-компьютеры университета Станфорда, а также "большое количество вычислительных центров" согласно пресс-релизу этого университета, поимели червем и/или руткитами в этом году. | |
| | |
| Alexander S. 21 Jul 2004 8:27 PM |
| 2 Egres, >Вы хоть иногда думаете что пишите. Руткит вообщето устанавливается после взлома системы, чтобы продолжать работать с системой и оставаться незамеченным n-ое количество времени. Думаю. Я также думаю, что читающая публика достаточно образована, чтобы не разжёвывать ей прописные истины. Дано: установка руткита на нотебук подключённый из дому в Интернет, используя непропатченную дырку. Манагер взял нотебук с работы, где по рекомендации Andy на его компьютере отключен firewall- чтобы не мешал. Принёс домой, вошёл в Интернет с той же настройкой системы (без firewall). Менеджер ведь, подсоединил нотебук к кабельному модему, Линукс получил IP по DHCP, никаких настроек менять не надо было- и ты уже в Интернете! >Руткит не вирус и соответственно сам он и систему не заражает, и уж тем более самостоятельно не распространяется. Ответить, может ли хакер, уже получивший контроль на Линуксовым компьютером, позже войти в этот компьютер даже если тот будет подключен в сеть за корпоративным firewall? Если вы ответили "нет"- ваше имя ламер. Подумать, если рабочий нотебук манагера был непропатчен и позволил хакеру воткнуть туда rootkit через дыру в ОС или прикладном ПО- пропатчены ли все прочие линукс-компьютеры в офисе манагера? Если вы ответили "да, пропатчены"- вам стоит снять розовые очки. Наконец, последний вопрос: если хакер имеет доступ к одному зараженному Линукс-компьютеру в офисе, и все прочие Линукс-компьютеры в офисе непропатчены и выходят в офисную сеть без firewall- как трудно хакеру будет заразить руткитами эти остальные Линукс-компьютеры, через ту же дыру? Ответ: так же просто. Фу-у-ух, кажется разжевал дальше некуда. | |
| | |
| Max 22 Jul 2004 1:58 AM |
| Давно уже местные ламаки не были так элегантно опущены. | |
| | |
| rGlory 22 Jul 2004 4:25 AM |
| 2 Alexander S. Ой как мы любим демагогию. Предлагаю очень простой способ проверить Ваши знания предмета, теоретик Вы наш. И сразу выяснится ламерность итд итп. Я ставлю на машину линукс с коробки - например Мандрейк 10.0, десктоп, настройки по умолчанию. Единственно выключаю файрвол при иснталяции. Втыкаю в кабельный модем, сообщаю IP и даю Вам сутки на испробование Вашего списка руткитов. Результат например должен быть такой - в корне должен появиться файл с именем AlexanderS, созданный рутом. Сколько Вы готовы поставить на кон? 500 зеленых хватит? Про залезание на этот же компьютер, когда он окажется за файрволом я уж промолчу. | |
| | |
| Egres 22 Jul 2004 6:05 AM |
| 2 Alexander S. Ответить, может ли хакер, уже получивший контроль на Линуксовым компьютером, позже войти в этот компьютер даже если тот будет подключен в сеть за корпоративным firewall? Если вы ответили "нет"- ваше имя ламер. === Слыш, а я ведь отвечу нет, и ламером будеш ты :-)). Скажу тебе по секрету как безопасник, ты насмешил не только меня, но еще кучу народа кто занимается информационной безопасностью, которым я показал твой пост. Не хотел особо отвечать, но лично для тебя не поленюсь, черкну пару строк. Так вот, 90% безопасников делают следующее, на фаирволах разрешают пропускать во внутрь трафик иницированый из внутрений сети, все остальное что приходит на outside интерфейс убивается по умолчанию, причем именно по умолчанию, и эту настройку теже 90% людей НИКОГДА не меняют. Так вот глупенький, какая бы операционная система не стояла у манагера, какие бы вирусы/черви/руткиты не были ему внедрены на лаптоп, извне (читай через outside интерфейс) к нему не пройдут. Максимум, и это самое неприятное, что он может сделать так это начать заражать своим зверинцем корпоративную сеть, но тут уже вступают другие методы борьбы, но об этом я уже писать не буду так из за Вашей скудости ума это будет просто пустая трата времени. | |
| | |
| Well-wisher 22 Jul 2004 10:44 AM |
| 2 Egres Уважаемый, не хотелось бы называть вас ламером, но... Руткит-то УЖЕ стоит у нашего манагера и он САМ МОЖЕТ ОТКРЫТЬ соединение с внешним миром. Ваши настройки на файрволе безусловно правильные, но ни хрена не помогут в данном случае | |
| | |
| anonim 22 Jul 2004 10:49 AM |
| 2 Egres Так вот, 90% безопасников делают следующее, на фаирволах разрешают пропускать во внутрь трафик иницированый из внутрений сети, все остальное что приходит на outside интерфейс убивается по умолчанию, причем именно по умолчанию, и эту настройку теже 90% людей НИКОГДА не меняют. Так вот глупенький, какая бы операционная система не стояла у манагера, какие бы вирусы/черви/руткиты не были ему внедрены на лаптоп, извне (читай через outside интерфейс) к нему не пройдут. ==== а если, наприме, гипотетическая ситуация на комне манагера повесили на крон проконнектится по вне и брать оттуда указания что дальше делать(коннект изнутри), как быть? файрвол не поможет, так как все порты ты закрывать не будешь ;) | |
| | |
| -- 22 Jul 2004 10:53 AM |
| 2w-w: и отвалится сразу же потому что нат выключен. хватит фигней страдать. может вам про туннели лекцию прочитать? а что tcpdump делает знаете? а pax? ключевая фраза в постах AS - "поставят, де, руткит через дырку". до его сознания блуждающего в заоблачных теоретических высях никак не дойдут три байта - pax. | |
| | |
| -- 22 Jul 2004 10:56 AM |
| 2anonim. поставьте pax. и ситуация действительно будет чисто гипотетической. навсегда :) | |
| | |
| Well-wisher 22 Jul 2004 10:57 AM |
| 2 - Еще один безопасник ? :) Как ето НАТ выключен ??? А как у вас юзеры в Интернет лазают ? Ну типа руткит по крону открывает соединение на 80-й порт с комьютером хакера и получает команды. Как файрвол это остановит ??? | |
| | |
| Egres 22 Jul 2004 11:09 AM |
| 2 Well-wisher: Уважаемый, мы кажется говорим о разных вещах. АС настаивал на том что атакующий сможет соеденится с жертвой, а не о том с кем жертва может установить соеденение. | |
| | |
| Well-wisher 22 Jul 2004 11:13 AM |
| 2 Egres Инициировать соединение не может при вменяемой насртойке файрвола, а соединиться (получить соединение) с жертвой легко. Таким образом непропатченные линуксы за корпоративным файрволом станут легкой добычей. А чем и говорил Alexandr S. | |
| | |
| Well-wisher 22 Jul 2004 11:40 AM |
| 2 rGlory Например, http://www.mandrakesoft.com/security/advisories?name=MDKSA-2 004:026 Разжевать, что значит remotely exploitable buffer overflow vulnerability ? Не думаю, что Alexandr S. за 500$ будет эксплойт писать :) Но патчить Линукс вы все-таки не забывайте, мало ли что :) | |
| | |
| Egres 22 Jul 2004 11:40 AM |
| 2 Well-wisher: Ответить, может ли хакер, уже получивший контроль на Линуксовым компьютером, позже ___войти___ в этот компьютер даже если тот будет подключен в сеть за корпоративным firewall? ==== Перечитайте внимательно :-)). Может я конечно чтото недопонял, но как мне кажется войти это и значит инициировать соеденение от себя с жертвой. | |
| | |
| Well-wisher 22 Jul 2004 11:44 AM |
| 2 Egres Не придирайтесь к словам :) По мне так войти значит, передать и получить информацию, а кто инициировал соединение неважно :) Согласитесь, сценарий Alexandra атаки на корпоративную сеть более чем реальный | |
| | |
| Skull - sibskullmail.ru 22 Jul 2004 11:47 AM |
| 2Well-wisher: "Как ето НАТ выключен ??? А как у вас юзеры в Интернет лазают ?" гы-гы! я не админ, но уж понятия типа прокси-сервера разжёвывать не надо? :) | |
| | |
| Well-wisher 22 Jul 2004 11:52 AM |
| 2 Scull Блин, ё-моё, ну через прокси он соединиться !!! В чем проблема ??? | |
| | |
| Egres 22 Jul 2004 11:58 AM |
| 2 Well-wisher: Неа, нереален его сценарий :-))). А вот сценарии приведенные anonim'ом и вами вполне реальны. | |
| | |
| none 22 Jul 2004 12:40 PM |
| 2Well-wisher: насколько я понял АС утверждал, что выключ. файрвол приведет к заражению компа, из привед. схем можно допустить, что даже при вкл. файрволе подобное возможно (в винде - дык просто ХТМЛ страница с "правильным" контентом :) отсюда выводы (банальные:) -Патчить нужно - отрицать это неразумно -файрвол не спасает от заражения (в общем случае) -присутствие лишних сервисов - ведет к увеличению риска заражения ... там много чего можно понаписать ;), и это все уже излагалось неоднократно в книгах, рекомендациях, статьях и т.д. Т.е. изначальное утверждение - некорректное. Если нет сервисов кот. отвечают по портам - то файрвол не нужен ;) (как защита сервисов) | |
| | |
| Well-wisher 22 Jul 2004 12:49 PM |
| 2 none Я не буду говорить за АС :) Если нет сервисов, то все замечательно, но они в подавляющем большинстве случаев есть. Например, корпоративный нотебук с Линуксом, неужели на нем не запущен sshd ? Управляють-то им как-то надо. Уже нужен файрвол, чтобы ограничить соединения только с доверенных адресов. Иначе если будет дыра в ssh, комп рано или поздно поимеют. Выключенный файрвол не приводит, конечно, автоматически к заражению, но ПОВЫШАЕТ ВЕРОЯНОСТЬ заражения. | |
| | |
| rGlory 22 Jul 2004 1:11 PM |
| 2 Well-wisher > Например, http://www.mandrakesoft.com/security/advisories?name=MDKSA-2 004:026 Разжевать, что значит remotely exploitable buffer overflow vulnerability ? Еще один "теоретик"? Желаете поучаствовать в процессе, или чиста "теоретически" нам опишете, как Вы будете mplayer на моей машине хакать? Что-то я не припомню демона с таким именем... Ну да ладно, могу и с Вами поспорить, хотя хотелось бы услышать начальника сборочного цеха ака главного теоретика. | |
| | |
| Well-wisher 22 Jul 2004 1:29 PM |
| 2 rGlory Да причем тут демон ? Есть дыра, есть манагер. Манагера через дыру имеют, потом имеют всех манагеров в корп. сети. ВАС через такую дыру, да еще если на спор, не сломать, а вот беспечного манагера почему бы нет. Я этим не занимаюсь :) Если вы считаете Линукс полностью безопасным даже без апдейтов. потому что я Well-wisher его не взялся ломать, то Бог вам судья :) Сейчас дыра mplayer, завтра в OpenSSH (не было чтоли в нем дыр ?). Я эксплойт писать не буду, но если он будет выложен публично, мы вернемся к нашему разгровору и посмотрим будете ли вы рисковать вашими 500 баксами :) | |
| | |
| xacid 22 Jul 2004 2:30 PM |
| зачем на ноутбуке sshd? чтобы mplayer кракнуть нужно mplayer'ом открыть что то - само по себе это не произодйет и опять таки - pax ... дальше - что такого особенного будет делать "руткит" на десктопе менеджера? у менеджера административные права на сервере? сомнительно... и что это за сервер который можно по локалке так поиметь ни с того ни с сего...? винда?;) я не спец по безопасности и даже не админ... но всё равно мне это странным кажетсч | |
| | |
| Well-wisher 22 Jul 2004 2:53 PM |
| 2 xacid > зачем на ноутбуке sshd? Затем же, зачем он на сервере, чтобы удаленно админить :) > чтобы mplayer кракнуть нужно mplayer'ом открыть что то - само по себе это не произодйет Чтобы виндовые черви (практически все) распространялись, надо ехе-шник запустить, само по себе это не происходит, тем не менее эпидемии случаются регулярно. А здесь даже не ехе-шник, а мултимедийный файл. Манагер кликнет не задумываясь, будьте уверены :) Тем более его давно убедили, что под Линуксом бояться нечего :) > и опять таки - pax ... Что же вы заладили pax-pax. Насколько я понимаю pax: 1. Не гарантирует нирваны безопасности 2. Сказывается на производительности 3. Не устанавливается по умолчанию > дальше - что такого особенного будет делать "руткит" на десктопе менеджера? Ну для начала заразит руткитами десктопы других менеджеров. Ну там DDoS, например, устроит на сайт Microsoft. Оно вам надо ? :) > у менеджера административные права на сервере? сомнительно... Сомнительно. A права на просмотр/редактирование финансовых и пр. данных у него точно есть. А у бухгалтера есть право перечислять деньги. и т.д. > и что это за сервер который можно по локалке так поиметь ни с того ни с сего...? винда?;) root на сервере, конечно, так просто не получишь, хотя если и сервер не патчат, патаму шта линукс чиста рулеззз, то... :) Но и без этого проблем можно поиметь, мама не горюй | |
| | |
| xacid 22 Jul 2004 4:02 PM |
| удаленно админить ноутбук менеджера?... экзотика) не всегда нужно чтобы черви распространялись ехешник запускать под виндой... в винде есть такой себе "искусственный интеллект" который сам всё запускает за юзера... в почтовых программах, браузерах, офисных приложениях... расширения прячет... и еще много чего другого _за_ юзера делать пытается... чтобы тому (юзеру) "легче" жить было... по крайней мере до очень недавних пор так было... да и остается так по большей части... особенно в реально-используемых юзерами версиях винды и приложений ну кликнет, и что дальше? мплейер вобще то с командной строки работает... и у него точно ТА версия мплейера будет? если он у него вобще будет... на корпоративном десктопе то... это же не винда где вмп "неотьемлемая часть"... ну предположем будет... где он "злоумышленный" ролик возмет? скачает? и если pax есть ничего этот ролик не сделает кроме как мплейер свалит в корку... в любом случае если "руткит" начнет шалить его в два счета вычислят pax гарантирует что переполнения буфера не будут подменять адрес возврата и выполнять инъектированный код (надеюсь вы знаете как работает взлом через переполнение буфера?) на производительности это не сказывается - просто два разных стека для данных и для адресов возвратов... в линуксе нет такого понятия "устанавливается по умолчанию" там ничего вообще по умолчанию нет - всё руками делается патчи в том числе ставятся те кто хочет а кто не хочет - его личные проблемы права на просмотр бухгалтерии у вас без отдельного пароля доступны? и бухгалтерша не проверяя потом всё подписывает? | |
| | |
| xacid 22 Jul 2004 4:05 PM |
| вобщем не нужно свою ламерскую виндузятную логику применять к юниксам... и тогда всё понятнее станет... под юниксом тоже можно лохануться, но это на несколько порядков труднее чем в винде... вот и вся разница... | |
| | |
| xacid 22 Jul 2004 4:10 PM |
| как руткит удаленно заразит десктопы других менеджеров? воздушно капельным путем? особенно если изначально он локально из ролика мплейер с правами менеджера свалит... да он даже сам этот десктоп в лучшем случае даже не заразит - права то у него менеджерские... ему сначала еще локальную защиту взломать нужно... чтобы руткитом стать что очень сомнительно в общем случае паталогические случаи - работа менеджера на ноуте под рутом не рассматриваем, ок? | |
| | |
| xacid 22 Jul 2004 4:18 PM |
| и еще - мандрейк при установке по умолчанию предлагает имя рута поменять на произвольное (чтобы он не рутом назывался а как нибудь иначе) и выбрать режим защиты из нормальной, повышенной и параноидальной... по умолчанию повышенная это "десктопный из десктопных" то дистрибутив... | |
| | |
| Well-wisher 22 Jul 2004 5:24 PM |
| 2 xacid > удаленно админить ноутбук менеджера?... экзотика) Нет, блин, надо все локально делать и за каждым манагером бегать и просить: ну дай поадминить, дай поадминить :) > не всегда нужно чтобы черви распространялись ехешник запускать под виндой... в винде есть такой себе "искусственный интеллект" который сам всё запускает за юзера... Сказки хорош рассказывать :) Исскуственный интеллект, блин. Попробуй че-нибудь из Оутлука запустить :) Если под исскуственным интеллектом подразумеваются дыры в ПО, так их и под Линуксом полно. Например, http://www.mozilla.org/projects/security/known-vulnerabiliti es.html > ну кликнет, и что дальше? мплейер вобще то с командной строки работает... и у него точно ТА версия мплейера будет? если он у него вобще будет... на корпоративном десктопе то... это же не винда где вмп "неотьемлемая часть"... ну предположем будет... где он "злоумышленный" ролик возмет? скачает? Какай-то двойной стандарт у вас. Вы не находите ? В виндах значит кликнет и все - заразился. А тут почему-то нет. Если у него Mandrake 10.0, то на 99% будет нужная версия. И все: переполнение и права пользователя в кармане. > pax гарантирует что переполнения буфера не будут подменять адрес возврата и выполнять инъектированный код (надеюсь вы знаете как работает взлом через переполнение буфера?) на производительности это не сказывается - просто два разных стека для данных и для адресов возвратов... Ладно рах оставим в покое :) Пока он не будет стаять хотя бы на 5% Линукс машин :) Кстати полно реализаций неисполняемого стека под Винды :) > в линуксе нет такого понятия "устанавливается по умолчанию" > там ничего вообще по умолчанию нет - всё руками делается Вы чего предлагаете на корп. нотебук LFS собирать ручками ? Нафиг, нафиг... Все равно там будет стоять SuSe, RedHat или Mandrake. Популярных дистров мало. В них pax пока по умолчанию не ставится. Поправьте, если ошибаюсь... > патчи в том числе ставятся те кто хочет а кто не хочет - его личные проблемы Ну это везде так :) > права на просмотр бухгалтерии у вас без отдельного пароля доступны? и бухгалтерша не проверяя потом всё подписывает? При наличии руткита поставить клавиатурный сканер не проблема :) Так что и отдельный пароль будет. Что подписывает ? Я за бухгалтера платеж онлайновый сделал и все подписал :) > вобщем не нужно свою ламерскую виндузятную логику применять к юниксам... Сам дурак :) > под юниксом тоже можно лохануться, но это на несколько порядков труднее чем в винде... вот и вся разница... Лохануться так же просто ! Вероятность, что это используют ПОКА гораздо ниже. Будет Линукс занимать процентов хотя бы 30 на десктопе, пойдут и вирусы, и черви и пр. > как руткит удаленно заразит десктопы других менеджеров? воздушно капельным путем? особенно если изначально он локально из ролика мплейер с правами менеджера свалит... Блин, ну что вы на этот ролик так запали :) Завтра находят уже не первую дыру в OpenSSH. Вы ее патчить манагерам не будете, потому что лохануться под Линуксом сложно ? :) > да он даже сам этот десктоп в лучшем случае даже не заразит - права то у него менеджерские... ему сначала еще локальную защиту взломать нужно... чтобы руткитом стать что очень сомнительно в общем случае Вот уж на что этот год был богат, так это на локальные эскалации привилегий в Линуксе :) > паталогические случаи - работа менеджера на ноуте под рутом не рассматриваем, ок? Под виндами всегда именно этот паталогический случай рассматривают :) А что Lindows вроде именно так и предлагает по умолчанию. | |
| | |
| Well-wisher 22 Jul 2004 5:24 PM |
| Я собственно к чему. Вы конечно правильно говорите, что при хорошей политике безопасности хацкеру гораздо навредить, так и под Виндами это спревидливо. Все же в принципе тоже самое: С/C++ и переполнения, проблемы слабых паролей, соц. инженерия и пр. и пр. Просто Виндов 95%, а Линукса - хрен его знает, в пределах статистической погрешности :) Поэтому вирусы и черви пишут под Винды. Кому интересно заразить 2%, когда можно заразить 95. Да и пользователи под Линуксом ПОКА куда более грамотные, pax-ов себе наставят понимаешь :) | |
| | |
| rGlory 22 Jul 2004 5:46 PM |
| 2 Well-wisher > Да причем тут демон ? Есть дыра, есть манагер. Манагера через дыру имеют, потом имеют всех манагеров в корп. сети. ВАС через такую дыру, да еще если на спор, не сломать, а вот беспечного манагера почему бы нет. Еще раз, для тех, кто в танке. Ваши теоретические построения яйца выеденого не стоят без потверждения на практике, как и AS. И чтобы упростить вам задачу я обязался поставить Mandrake из коробки, только лишь выключив файрвол. Что может быть проще? Симулируем ситуацию - лох админ да еще и файрвол отключил. А вы показываете как с помощью приведенных или не приведенных "руткитов" получаете рута на этой машине (особенно FreeBSD Rootkit или RootKit for SunOS / NSDAP, которые AS тут цитировал для красного словца) . Только я вижу для вас одна проблема, не "теоретически" обсудить, как это произойдет, а просто сделать - а тут уже балабольство не прокатит. Ну чтож ждемс начальника цеха, хотя меня терзают смутные сомненья (С) | |
| | |
| Well-wisher 22 Jul 2004 6:16 PM |
| 2 rGlory Детский сад :) Я отказался -> Линукс неуязвим :) Вы сделайте объявление погромче типа так и так: надо сломать Mandrake 10.0 и не скупитесь не 500$ предлагайте, а хотя бы 100000, посмотрим сколько ваш Линукс продержится :) Да, я теоретик :) А вы нет ? Тогда пожалста в студию список вами найденных уязвимостей, вами написанных эксплойтов и вами сломанных систем/сайтов :) | |
| | |
| xacid 22 Jul 2004 6:18 PM |
| менеджеры сами должны просить их админить... особенно ноутбуки приносить, в ножки кланяться и оставлять в покое пока ты им будет админить их ноутбук... сказки это ваша территория? ок, уступаю место вам как лучшему сказочнику... двойные стандарты потому что в линухе традиционная многопользовательская идеология, а в винде традиционная однопользовательская идеология... отсюда у винды и все проблемы с безопасностью, а у линуха преимущества в безопасности... полно реализаций за очень отдельные деньги? и все позаимстовавшие идеи из pax? понятно... все ваши аргументы строятся на таком количестве предположений, допущений и веры в свою правоту что кроме социальной инжинирии в чистом виде в них более ничего нет... что собственно я и хотел вам с самого начала сказать | |
| | |
| Rentgen 22 Jul 2004 7:55 PM |
| менеджеры сами должны просить их админить... особенно ноутбуки приносить, в ножки кланяться и оставлять в покое пока ты им будет админить их ноутбук... ==== Хасид, какой ты смешной все-таки. Тебя так начальство достало что ли? :))) Да, несправедлив мир. Так ты признай это и пойми что с этим делать, а не фантазируй. Трудно же тебе живется наверное... | |
| | |
| VicTor 22 Jul 2004 10:57 PM |
| > Кстати полно реализаций неисполняемого стека под Винды :) Примеры назовите, если не влом. Из чистого интереса. | |
| | |
| haksly - hakslyhot.ru 23 Jul 2004 12:18 AM |
| ненавижу линухсаксь | |
| | |
| rGlory 23 Jul 2004 6:46 AM |
| 2 Well-wisher > а, я теоретик :) А вы нет ? Тогда пожалста в студию список вами найденных уязвимостей, вами написанных эксплойтов и вами сломанных систем/сайтов :) А при чем тут я? Я к Вам с этим предложением не обращался, Вы сами влезли и меня же обвиняете. Так кто из нас с десткого сада? > Я отказался -> Линукс неуязвим :) Да нууу?!! Это тоже одна из Ваших теорий? Можно продолжить логический ряд: я напился - нет в жизни счастья, я проспал - победа социализма неизбежна. Пойдет? > Вы сделайте объявление погромче типа так и так: надо сломать Mandrake 10.0 и не скупитесь не 500$ предлагайте, а хотя бы 100000, посмотрим сколько ваш Линукс продержится :) Во первых у меня нет таких денег, поэтому предлагаю сколько могу себе позволить. Во вторых мне не нужно ломать, мне просто интересно: как наш "теоретик" будет выкручиваться на этот раз. Практически уверен, что найдет чем отбрехаться, вот только, боюсь реальных результатов не показать. Уж больно его "теоретизирования" от практической жизни оторваны. Виртуальная реальность во всей ее красе... | |
| | |
| xacid 23 Jul 2004 9:54 AM |
| 2Rentgen> только не нужно бредить, хорошо? | |
| | |
| -- 23 Jul 2004 10:37 AM |
| да че тут говорить. w-w вон сказал что pax тормозит систему. да он просто на сайт не заходил и не читал про него. и не собирается. так, чисто рассуждения на предмет того что все несовершенно и боротся с этим не имеет смысла мол. философия в чистом виде | |
| | |
| xacid 23 Jul 2004 11:19 AM |
| а это он из принципа "а приори" исходит типа раз что то хорошее делает - значит тормозит систему в винде же так всё, верно? | |
| | |
| Well-wisher 23 Jul 2004 11:28 AM |
| 2 xacid > менеджеры сами должны просить их админить... особенно ноутбуки приносить, в ножки кланяться и оставлять в покое пока ты им будет админить их ноутбук... Ну-ну :) А такие манагеры бывают ? Нет, сынок, это фантастика (c) реклама > двойные стандарты потому что в линухе традиционная многопользовательская идеология, а в винде традиционная однопользовательская идеология... отсюда у винды и все проблемы с безопасностью, а у линуха преимущества в безопасности... Уважаемый, вы вообще Винды-то после 95-х какие-нибудь видали ? Что в XP такого однопользователького ??? > полно реализаций за очень отдельные деньги? и все позаимстовавшие идеи из pax? понятно... Ну я видел только за деньги :) VicTor, например, http://www.ngsec.com/ngproducts/stackdefender/ > все ваши аргументы строятся на таком количестве предположений, допущений и веры в свою правоту что кроме социальной инжинирии в чистом виде в них более ничего нет... что собственно я и хотел вам с самого начала сказать 1. В Линуксе и прикладных программах под Линукс есть уязвимости. Практика эти предположения постоянно подтверждает. 2. Многие забывают (забивают) апдейтить системы. Практика показывает, что это именно так. 3. Непропатченную систему может сломать любой скрипт-киди. А почему нет, если эксплойт выложен в Инет ? 4. Имея права пользователя на непатченном Линуксе, только ленивый не получит права root :) См. уязвимости linux kernel особенно за последнее время. 5. Получив rootа можно оставить rootkit. 6. С rootkitом можно следить за дейтсвиями пользователя и получить доступ к секретной/ценной информации. 7. Если дыра связана с каким-то сервисом, то так же легко заразить и остальные машины в корп. сети. Сервисов говорите нет. Ну ssh уже нашли. Если у нас в сети куча десктопов с Линуксом, нужен софт типа Red Carpet для менеджмента. Red Carpet client - еще один сервис. Оба кстати работают из под roota. Дыры могут быть, например, самой реализации стека TCP/IP. 8. Главное :) Админы не всегда думают о безопасности, пользователи о ней не думают вообще. Это так под любой системой. Конечно, все это предположения. Такая атака нетривиальная задача в любой системе, а если грамотные люди думают о безопасности, то она практически нереальна опять-таки в любой системе. Однако, смотрим на Stanford University http://securecomputing.stanford.edu/alerts/multiple-unix-6ap r2004.html. Там и эскалация привилегий и руткиты в полный рост. Вот она практика. Голые факты, никакой философии. | |
| | |
| Well-wisher 23 Jul 2004 11:31 AM |
| 2 rGlory Уважаемый, если бы вы мне предложили за 500$ сломать сеть Стенфордского Университета, я бы тоже отказался. Но это отнюдь не значит, что их система безопасна. Нашлись люди, которые это сделали бесплатно (см. ссылку ниже). Можете считать, что я отбрехиваюсь :) | |
| | |
| Well-wisher 23 Jul 2004 11:57 AM |
| 2 xacid, - Ну зашел на сайт почитал: Non-executable pages are made supervisor in the TLB; executable pages are left as user If CPU is in user mode, access to the non-executable pages causes a page-fault which PaX handles Типа это не замедляет работу программы ? Без pax программа просто обращается к readonly странице. С pax происходит прерывание, переключение контекстов и пр. Поскольку в х86 нет поддержки бита выполнения, то он эмулируется софтварно. Hа это тоже какие-то циклы уходят. Так что замедление есть. Насколько ? Я не знаю. Кстати PaX is ineffective against kernel overflows | |
| | |
| Well-wisher 23 Jul 2004 11:59 AM |
| readnoly в смысле non-executable | |
| | |
| xacid 23 Jul 2004 12:05 PM |
| по вашей ссылке: "StackDefender uses PAX technology" это вам не инновация из мира опен-сорса? менеджеров воспитывать нужно... вежливости, культуре общения, уважению... на понятном им языке... тогда будут такими много чего там однопользовательского... мышление разработчиков приложений в первую очередь... до юниха им еще расти и расти им... нормально администрируемую систему взломать не так легко как вы думаете... и по умолчанию любой дистрибутив линукса на несколько порядков секюрнее чем любая винда... последние вирусные эпидемии этому иллюстрация... | |
| | |
| Well-wisher 23 Jul 2004 12:25 PM |
| > по вашей ссылке: "StackDefender uses PAX technology" это вам не инновация из мира опен-сорса? Ну и ? > менеджеров воспитывать нужно... вежливости, культуре общения, уважению... на понятном им языке... тогда будут такими Ну это, конечно, неплохо, но не проще ли по ssh подсоединиться и все настроить, не сходя с места ? :) > много чего там однопользовательского... мышление разработчиков приложений в первую очередь... до юниха им еще расти и расти им... Насчет, мышления разработчиков согласен, но к самой системе - это не имеет прямого отношения. > нормально администрируемую систему взломать не так легко как вы думаете... Я как раз говорил, что нормально администрируемую систему под любой ОС сломать очень непросто > и по умолчанию любой дистрибутив линукса на несколько порядков секьюрнее чем любая винда... Это чем же ? PaXa там нет :) В линуксе вроде не было понятия по умолчанию ? :) > последние вирусные эпидемии этому иллюстрация... Последние вирусные эпидемии доказывают только то, что в мире полно идиотов ! :) Потому что все эти эпидемии (ну что там последнее, Bagle, например) действуют по принципу: кликни на меня, посмотришь порнушку :) И ведь кликают, и под Линуксом будут кликать :) | |
| | |
| Нос 23 Jul 2004 1:31 PM |
| http://egor-spb.narod.ru/raznoe/bidiot.htm 63. Hy скажите мне, какие мозги надо иметь, чтобы, полyчив с неизвестного адpеса письмо с пyстым телом и вложенным файлом fackenkill.exe, немедленно запyскать этот файл на исполнение?!! P.s.: Господа, не равняйтесь на себя. Если я пару дней назад поднял Windows из глубокого дауна (не надейтесь - процессор сглючил. отправлен по гарантии) при помощи Barts'PE, то это совершенно не означает, что это сможет сделать каждый. Глупо рассчитывать на то, что каждый может починить свое авто сам... | |
| | |
| xacid 23 Jul 2004 1:45 PM |
| _самые_ последние: модификации сламмера и бластера... мандрейк из коробки всё таки секюрнее хр из коробки... 2й сп к хр-е никак родить вон не могут бедняги... можно и ссх, только очень аккуратно тогда нужно... и думать хорошо до того как, а не после того как... | |
| | |
| xacid 23 Jul 2004 1:45 PM |
| мозги воспитанные рекламой билли гейца... | |
| | |
| Пётр 23 Jul 2004 1:59 PM |
| в общем, линукс удалённо администрировать нельзя, по умолчанию, так чтоли? | |
| | |
| Well-wisher 23 Jul 2004 1:59 PM |
| 2 xacid Slammer - это для SQL Servera вообще-то. Ну был еще и Slapper :) Blaster был год назад, не самый последний червь. Таки-да неприятный для тех, кто не включал файрвол (одной галочкой !!!) и не ставил апдейтов. Blaster очень наглядно показывает, что может быть с Линукс-пользователями, если найдут дыру в OpenSSH :) По поводу "теоретического" взлома в Стенфорде ничего не скажете ? :) | |
| | |
| xacid 23 Jul 2004 3:45 PM |
| по умолчанию нет а при желании да | |
| | |
| xacid 23 Jul 2004 3:47 PM |
| недавно опять какая то инфекция пробегала тут неподалеку точно не инетересовался как называется вроде как через скл-сервер проникает а дальше уже систему пользует | |
| | |
| Alexander S. 23 Jul 2004 6:37 PM |
| Ого! Как интересно стало (если фильтровать переходы на личности :). А началось, напомню, с того что г-н Andy отметил, что в корпоративной сети за корпоративным firewall нет надобности включать локальный firewall на каждом корпоративном десткопе. На что я ответил, что в безопасности лучше перекланяться чем недокланяться, и всё-таки firewall включать надо. Я не хакер- я в security работаю. Предлагать мне взломать чей-то компьютер- как предлагать милиционеру убить кого-то, чтобы доказать что он хороший милиционер а не лох. Согласно Главному Инженеру (СТО по-ихнему) Red Hat, рекламировавшему SELinux недавно, Red Hat Linux образца 2000 года, установленный в Интернет в умолчательной конфигурации, хакается за 45 секунд. Поищите дистру Red Hat Linux Desktop версии выпуска 2000 года и посмотрите- включён ли в ней firewall по умолчанию. Если нет- оно и понятно, если да- значит, открыты ненужные для десктопа порты и для тех кто на этих портах слушает- уже есть экплоиты. В офисе фирмы куда я захожу, все работают на Windows 2000 Pro. Это для того, чтобы понять насколько "дистры" 2000 года ещё в ходу. | |
| | |
| Alexander S. 23 Jul 2004 6:52 PM |
| Что же касается того, может ли хакер войти в компьютер спрятанный за корпоративным firewall, при условии что этот компьютер уже был скомпрометирован (хакнут)- то это был вопрос, которым ламеров отделяют от специалистов. Есть много способов получить соединение, конечно в пассивном режиме: зараженный компьютер устанавливает с тобой связь. Тривиальные способы коннекта описывать не будем, но раз про порт 80 пошло, вот вам сценарий более оригинальный. Дано: 1. Солидная американская контора, считающая, что она серьёзно относится к безопасности корпоративной сети. 2. Корпоративная сеть защищена firewall. 3. Корпоративная сеть разрешает только исходящий HTTP траффик по порту 80 (HTTP). Остальные порты закрыты, даже 443 (HTTPS). 4. Корпоративная сеть имеет HTTP proxy-server, через который юзеры обязаны ходить в Интернет. Прямое соединение с Интернетом невозможно. 5. Proxy-server запрещает корпоративным пользователям ходить на порносайты, сайты в хакерских и варезных странах вроде России и Китая:). При попытке соединения с ними коннект не разрешается, юзеру выдаётся сообщение о том, что он нарушает корпоративные правила пользования ИНетом, и за ним следит corporate IT. 6. Зараженный компьютер сотрудника принесён из дому и подключён в корпоративную сеть. Требуется: показать, как хакер может контроль за этим компьютером в корпоративной сети, войти в него, получить возможность дальнейшего распространения по корпоративной сети а также нанести сети ущерб. | |
| | |
| Alexander S. 23 Jul 2004 6:52 PM |
| Решение: использовать протокол HTTP. Согласно этому протоколу, вы можете в запросе к веб-сайту отправить coookie размером до 4 Кб (можно и больше, но некоторые прокси не любят, когда больше, а одна так и падает- проверено:). Внутри этой cookie закладывается вся информация о зараженном компьютере. Зараженный компьютер проинструктирован регулярно пытаться соединяться с десятком-сотней веб-сайтов. Эти сайты представляют собой настоящие сайты- хакнутые заранее, а также зомби-компьтеры домашних пользователей в США. Хотя прокси и может запретить зараженному компьютеру соединяться с кем попало в Китае, но для блока IP адресов США запрета обычно нет (кроме известных порно- и аналогичных сайтов). Со своей стороны, хакнутые вебсайты и "зомби" возвращают свою стандартную страницу или "404- Not found" на любой запрос к ним пришедший без специальной cookie. Когда же приходит cookie от зараженного компа- сайт высылает назад Веб-страницу которая представляет собой набор команд зараженному компьютеру. В простейшем случае- можно просто держать этот коннект как тунель, заражённый компьютер послает информацию блоками по 4 КБ (cookie внути стандатного HTTP запроса GET), псевдо-вебсайт отвечает блоками любого размера (псведо-текстом внутри Веб-страницы обрамлённой стандартными HTTP заголовками). UUENCODE их- и всё пройдёт. Вот, к примеру, библиотека Мошкова- один GET от клиента может вернуть мегабайты текста заполненного какими-то кракозябрами. Это цельный текст книги в Cyrillic- но если бы не Мошков а хакнутый сайт- можно переслать цельный бинарник или исходник для компиляции, и сказать зараженному компьтюеру скомпилить и запустить его на выполнение). Ни одна прокси не запретит и не заподозрит. Конечно, туннель этот медленный, но в шелле работать можно, а так как хакер не заботится о секретности данных, то на тунель можно простой telnet навесить, даже не ssh. Итак, хакер получил доступ к зараженному компьютеру в корпоративной сети. Telnet-a и ftp ему хватит? Угу. Дальше, свобода действия- если нужен саботаж, то хакер просто может включить DHCP сервер на компьютере менеждера. Сеть станет ложиться кусками, пока админы с матюками будут вычислять где же эта скотина бежит. Находится такое быстро, за час-два в большой организации- но если в этот момент в офисе президент страны на экскурсии с главой фирмы рассматривают достижения фирмы и их приложимость к государственным делам- эффект может быть потрясающий. Если промышленный шпионаж- включить микрофон нотебука, записывать разговоры в кабинете, и регулярно посылать через email в виде звуковых приаттаченных файлов на адрес в Hotmail (чтобы медленный тунель не занимать голосовым траффиком:). Можно также посмотреть вокруг, нет ли других компов беззащитных в локалке, поиметь и их. *** Это сложный сценарий, но вполне рабочий даже вчера, не то что сегодня. Я, кстати, ОС на лаптопе менеджера не назвал- любая сегодня популярная подойдёт: XP, Linux, OS X. Разумеется, компьютер Васи Пупкина или контору "Рога и Копыта в спальне дома моего" так ломать не станут, но какое-нить IBM или Coke поиметь вполне могут. Для этого стоит потрудиться. Вот вам и пример того, как может хакер влезть в корпоративную сеть через серьёзно настроенный корпоративный firewall при условии наличия одного заранее зараженного компьютера в этой сети- и желания. | |
| | |
| Skull - sibskullmail.ru 23 Jul 2004 6:53 PM |
| 2Well-wisher: "Просто Виндов 95%, а Линукса - хрен его знает, в пределах статистической погрешности" - ох уж мне эти самовлюблённые виндузятники, не знающие статистики! :) На десктопах: Windows - 94%, Linux - 3,2%, Маки плетутся на третьем месте. Читайте IDC. :) | |
| | |
| Andy 23 Jul 2004 7:16 PM |
| 2Alexander S: Сценарий прельстивый, спору нет. Но как включённый на прочих машинах локалки фаерволл помешает злобно записывать разговоры в кабинете? :( | |
| | |
| Alexander S. 23 Jul 2004 8:11 PM |
| 2 Andy, Ответ: никак. У меня просто не было сил на четвёртый постинг, чтобы объяснить, что локальный firewall к ответу на вопрос "а как хакер может проникнуть в сеть через корпоративный firewall посредством зареженной машины"- не относится. Firewall включённый на компьтере- это один из уровней защиты. По моему мнению- обязательный. Не исключительный, не всеохватывающий, не спасающий | |
| | |
| Alexander S. 23 Jul 2004 8:13 PM |
| от всех и вся- но просто один из уровней защиты. По моему мнению, отказываться от него, потому что "мы защищены корпоративным firewall"- наивно. Как я уже говорил: в этом деле лучше перекланяться, чем недокланяться. | |
| | |
| Нос 23 Jul 2004 8:34 PM |
| На самом деле, файрволл в данном случае мало поможет. Вам нужен файловый шаринг? Если нужен, то все - машина готова к поражению через известные и не пропатченные дырки. Так же любой уязвимый сервис. А если сервис не должен быть в интернет (как в случае со Slammmer), значит его там и не должно быть... Я вообще постепенно склоняюсь к мысли, что средство обнаружения вторжения лучше... P.s.: да, можно использовать интеллектуальные файрволлы. Но врядли родной XP-ный будет таким... | |
| | |
| нц 23 Jul 2004 8:37 PM |
| 2 Alexander S. недавно был доклад на одной из конференций, рассматривалась возможность пересыки данных используя DNS запросы. Муторно, но работает. Тоже вариант. Еще более медленный и с рядом ограничений, но работает. Долго же такое будут вычислять... | |
| | |
| нц 23 Jul 2004 8:44 PM |
| кстаи интересно SP2 файрволл от leaks защищает или нет? хотя врядли конечно.. о "встраивании" надо информировать пользователя, иначе либо не будет работать что-то новое (будет заблокировано), либо как-то надо узнавать , что "встроенное" приложение работать с сетью прав не иеет. А пользователь тупо нажмет "Ок". | |
| | |
| Alexander S. 23 Jul 2004 10:23 PM |
| 2 нц, Про DNS знаю, но в уважающей себя корпорации, которую мы с вами теоретически ломаем, DNS сервер стоит внутри, он корпоративный, и все запросы от корпоративных клиентов будут кончаться на нём. Что же касается HTTP, то это красивая огромная дырища, но старая. Более новые взлома корпоративной сети изнутри, "казачком засланным", более элегантны и более трудноуловимы. Особенно если речь идёт о промышленном шпионаже, где есть достаточно денег, желания, и цель известна: офис фирмы и домашние адреса сотрудников фирмы. | |
| | |
| Alexander S. 23 Jul 2004 10:33 PM |
| >Про DNS знаю, но в уважающей себя корпорации, Виноват, ошибся. "DNS-коннект" будет работать и в корпорации, но таки медленно. Посыпаю голову пеплом. | |
| | |
| нц 24 Jul 2004 12:12 AM |
| в презентации были расчеты сколько, чего и как нужно для пересылки подобным способом например дистра кноппикс. Такие объемы не нужны, да и сложноваты для пересылки прямо скажем, но логин-пароль отослать наружу можно: в примитивном варианте последовательно запрашивая адреса сначала типа [AttakedUserID]+[symbolfromlogin].stealbydns.com и [AttakedUserID]+[symbolfrompasswd].stealbydns.com обратная информация может содержаться в ответе. интереснее конечно услажнить это все. Эдакая стеганография ;) таким образом только дырки наружу через DNS сервер достаточно. (кстати через несколько дней после конференции у Акамаи были серьзные технические проблемы. К чему бы это... :) По поводу стеганографии - ходили слухи, что материалы по этой теме стараются закрывать, ибо тематика неприятна для кое-кого :) | |
| | |
| rGlory 24 Jul 2004 8:34 AM |
| 2 Alexander S. > Я не хакер- я в security работаю. Предлагать мне взломать чей-то компьютер- как предлагать милиционеру убить кого-то, чтобы доказать что он хороший милиционер а не лох. Во во пошла поехала ее величество Демагогия. Еще и подходящии ассоциации приведем. Да уж, милиционеры умеют стрелять чисто теоретически. У Вас в сетке только виндовс машины? А откуда сведения про линукс, что если не закрыть файрволом, то тутже накинутся злобные хакеры с руткитами наперевес? Опять теория? Или взяли знания по виндовс и экстраполировали на все операционки? А в своем секурити тоже "чиста" теоретически работаем? По симпозиумам все необось? Где уж тут дурацкой практикой заниматься... | |
| | |
| Нос 24 Jul 2004 1:31 PM |
| 2rGlory: ваши посты уже скучно читать. Одно и тоже из темы в тему... сплошная вода и никакой конкретики | |
| | |
| rGlory 25 Jul 2004 12:14 AM |
| 2 Нос > сплошная вода и никакой конкретики Я понимаю, если бы за виндовс, вот была бы конкретика, а так сплошная вода, да и прицепиться не к чему, не так ли? | |
| | |
| Нос 25 Jul 2004 11:34 AM |
| А к чему цепляться? вставил слово "демагония", налил текста (про милиционера), приплел виндовс и линукс. "наши соусы вкусные"... | |
| | |
| Дмитрий 25 Jul 2004 8:05 PM |
| Кто-то знает, как выставляться на Download.com? Очень важно. Не могу разобрать, как делать PAD файл... | |
| | |
| xacid 26 Jul 2004 10:24 AM |
| я тоже на работе работаю на вынь2000про но разве это вынь2000про образца года 2000? не смешите на ней уже сервиспаков и патчей на две такие же винды... это раз а то что линуксоиды по вашим же словам ядра компилируют постоянно это как?) по крайней мере те кому положено быть параноиком по долгу службы патчи ставят регулярно.. благо есть что ставить... в опенсорсе гораздо более оперативно реагируют на обнаружение дыр чем в мсаксе... это факт а описываемые вами сценарии проникновения... к чему все эти проблемы? и что это собственно "хакиру" дасть? не проще ли просто агента подослать куда положено и он уже на месте всё организует без шума и пыли... раз уж так все серьезно... в любом случае _абсолютной_ защиты не бывает... а если посмотреть на то как всё "делается" в корпорациях... так вобще странно что всё еще как то работает у них... | |
| | |
| Нос 26 Jul 2004 10:35 AM |
| > в опенсорсе гораздо более оперативно реагируют на обнаружение дыр чем в мсаксе хорошо, когда канал жирный. В опенсаксе ведь патчи нужно качать почти ежедневно. > но разве это вынь2000про образца года 2000 Да будет тебе известно, что МС практически не расширяет функциональность посредством патчей. Исключение может составить только ХР, в которой они закручивают гайки в области защиты. Возьми и сравни опенсакс образца 2000 года (сусакс или фесакс или сласакс, например) и текущий... | |
| | |
| xacid 26 Jul 2004 11:02 AM |
| да всё мне известно причем здесь это? мы же про дыры говорили вроде... помоему это вам что то не известно где вы видели чтобы патчами расширялась функциональность? а то что инкрементальными диффами новую версию на старую в исходниках наложить можно при апгрейде софта - так это собственно и экономит вам траффик... мелкосакс до такого еще не дошол... весь бинарник перекачивают если что... | |
| | |
| Нос 26 Jul 2004 11:11 AM |
| Еще раз. "но разве это вынь2000про образца года 2000". Надо говорить в таком случае, "но разве это вынь2000про образца года 2000 в плане дыр и исправленных дыр" (сорри за тавтологию). "где вы видели чтобы патчами расширялась функциональность?" ядро линукса :) Во всей своей красе :) "новую версию на старую в исходниках наложить" Оно мне надо. Еще не с теми опциями соберешь - падать будет... "мелкосакс до такого еще не дошол... весь бинарник перекачивают если что." Нуу, скажем с версии windows update v5 мс передает изменения в бинарниках именно таким образом, в виде "патча". Бинарник не качается целиком, только "diff". | |
| | |
| xacid 26 Jul 2004 12:11 PM |
| #*& %^@~}... | |
| | |
| xacid 26 Jul 2004 12:12 PM |
| в опенсоурсе диффы были всегда у мелкосакса только с версии 5 вы что-то спрашивали об инновациях?... | |
| | |
| xacid 26 Jul 2004 12:13 PM |
| ключики ваш упдате не путает? ну хорошо хоть так... а то... | |
| | |
| Дмитрий 26 Jul 2004 12:19 PM |
| Народ, обясните про Download.com, плиз! очень нужно. | |
| | |
| Нос 26 Jul 2004 1:22 PM |
| 2Xacid: не путай, плиз, дифы на исходник и бинарник. А то я не понял тогда, чего мне сусе предлагает каждый раз ядро 21 мб весом :) И кстати, почему это опенсакс (сорри, я буду использовать именно это слово - в качестве взаимозачета) имеет право на передирации, а МС все должен исключительно иновационное представлять? Они разве не имеют права в чем-то отстать от прогрессивного сообщества? :))) | |
| | |
| xacid 26 Jul 2004 2:41 PM |
| и что же опенсакс передрал? | |
| | |
| -- 27 Jul 2004 4:12 PM |
| 2нос: man xdelta | |
| | |
| Нос 27 Jul 2004 5:21 PM |
| 2xacid: хотя бы кде. Сильно напоминает виндовс. (сейчас прийдет скул и порвет как тузик грелку). Даже интеграции браузера не избежали :) По мне, так наиболее приятный вин-менеджер - xfce. Действительно, нечто приятное и быстрое. В отличие от монстра. 2--: Я уже могу скачать пакеты в ввиде диффом скажем с дебиана? или сусе? По мне, так этот xdelta для применения в локальном междусобойчике, не более... | |
| | |
| Alexander S. 27 Jul 2004 6:30 PM |
| 2 rGlory, >У Вас в сетке только виндовс машины? Нет. Нет только. >А откуда сведения про линукс, что если не закрыть файрволом, то тутже накинутся злобные хакеры с руткитами наперевес? Вы через строчку читаете, через параграф, или вообще по диагонали? Повторяю: согласно заявлению Главного Инженера Red Hat Linux (CTO Red Hat Linux) сделанному им во время демонстрации SELinux, Red Hat Linux образца 2000 года установленный в умолчательной конфигурации и подключённый в Интернет был скомпрометирован (взломан-хакнут-заражён червем) за 45 секунд. Напоминаю, что Линукс компьютеры в Университете Станфорда были взломаны в том числе через известные дыры удалённого доступа. Совсем недавно. >Опять теория? Практика. Если вы этих вышеприведённых фактиков не знали, то за новостями в security невнимательно следите, а весь ваш опыт Linux security очевидно заключается в установке дистры на свой компьютер и криков "гля, виндовый вирус тут не работает- мы спасены". >Или взяли знания по виндовс и экстраполировали на все операционки? Нет, моя книжная полка заставлена книгами по UNIX, Linux и Windows Security- из пропорции 3 книги UNIX/Linux Security на одну книгу по Windows Security. А у вас? >А в своем секурити тоже "чиста" теоретически работаем? "Теория без практики мертва, практика без теории пагубна или бесплодна"- знаете, кто это сказал? Я полагаю, из ваших наездов на "теорию", вы относитесь к категории практиков без теории, со всеми вышеупомянутыми последствиями.:) >По симпозиумам все необось? Где уж тут дурацкой практикой заниматься... По всякому.:) А что, высшее образование и регулярные общения с коллегами по специализации уже и недостаток? Или это я вам так не нравлюсь, что вы начинаете чушь молоть, не подумавши? Ну раз вы такой спец-практик по security, то вот вам домашнее задание: Дано: взломанный хакером нотебук сотрудника работающего из дома. Требуется: обеспечить доступ хакера к взломанному компьютеру, когда он (компьютер) будет подключён в корпоративную сеть. Цель- промышленный шпионаж. Дополнительная вводная: корпоративная сеть, в целях обеспечения 100% компьютерной безопасности фирмы, не подсоединена в Интернет. Вот когда задачку эту решите (теоретически, плиз:)- тогда и приходите. Кстати, решение довольно тривиально. | |
| | |
| xacid 27 Jul 2004 8:52 PM |
| блин, а мс окна откуда содрала? не с маков ли? а маки откуда содрали? не со смоллтока ли ксероксовского?... все откуда то что то содрали... мс - больше всех содрала везде... а кому то еще указывает что то там... | |
| | |
| xacid 27 Jul 2004 8:55 PM |
| убедили вы меня настраиваю у себя на винде на рабочей файрвол опенсорсный | |
| | |
| xacid 27 Jul 2004 8:59 PM |
| думаю оффлайновый вариант фтп-протокола спасет хакира... типа вечером незаметно команду в ноут, утром ноут ее выполняить на работе... вечером результаты опять... тока я такой фирме бы не советовал вобще ноуты менеджерам давать... да и вобще подумал бы серьезное не только о файрволах а и о какихто более организационных мерах... а то простой подкуп будет еще эффективнее... на флешку все че надо скинул и делов то... денюжки в кармане... и никто ниче не знает... | |
| | |
| rGlory 28 Jul 2004 1:35 AM |
| 2 Alexander S. Я вижу Вам неймется. Помятуя высказыванмя достопочтенной публики насчет неконкретности моих высказываний, постораюсь быть кратким и конкретным. Сначала предистория: Имея печальный опыт общения с уважаемым господином Alexander S. в этой полемике http://zdnet.ru/?ID=452988&Discuss=1&Message=168720#Message_ 168720 а именно вышеупомянутый господин ушел в глухую "несознанку", те начал строить бредовые теоретические высказывания, полностью оторванные от реальности, я резонно предположил подобную ситуацию здесь (и как оказалось не без основания). Поэтому решил сразу взять быка за рога (ничего личного, просто выражение такое) и предложил конкретную практическую задачу, причем несложную, судя по распальцованности высказываний вышеупомянутого господина. Я ожидал, и мои надежды оправдались, что от решения Вы откажетесь, по простой причине: можете сколь угодно долго "теоритезировать" и балаболить, только от этого задача не решится. Вы уклонились, чего и следовало ожидать. А теперь вкратце по Вашим высказываниям: > Повторяю: согласно заявлению Главного Инженера Red Hat Linux (CTO Red Hat Linux) сделанному им во время демонстрации SELinux, Red Hat Linux образца 2000 года установленный в умолчательной конфигурации и подключённый в Интернет был скомпрометирован (взломан-хакнут-заражён червем) за 45 секунд. Меня не интересовало, что кто-то может сломать линукс, в этом я как раз и не сомневался. Сомневался я именно в Вашей способности это сделать... > Нет, моя книжная полка заставлена книгами по UNIX, Linux и Windows Security- из пропорции 3 книги UNIX/Linux Security на одну книгу по Windows Security. Можете еще суммарное количество страниц привести, для пущей солидности. Увы, количество книг на полке, и даже количество прочитанных книг еще не говорит о Вашем владении предметом, но об этом ниже. > Я полагаю, из ваших наездов на "теорию", вы относитесь к категории практиков без теории, со всеми вышеупомянутыми последствиями.:) Ну Вы опять экстраполируете, я имел в виду конкретно Ваши теоретические построения, а теория теории рознь. > "Теория без практики мертва, практика без теории пагубна или бесплодна"- знаете, кто это сказал? Вот именно о такой теории я и говорю... | |
| | |
| rGlory 28 Jul 2004 1:51 AM |
| Продолжение: А теперь о Вашем уровне владения предметом. Не знаю, насколько Вы специалист в безопасности виндовс (не берусь судить) и сколько книжек у Вас на полке по безопасности юникс, только все ваши построения основанные на списке руткитов, которые Вы тут нам привели, честно говоря впечатляют. Для несведующих это, возможно, звучит красиво, только: Во первых для красного словца Вы нам тут выплюнули список руткитов для всех возможных юниксов с первого попавшегося сайта, не потрудившись даже отфильтровать. Ну да ладно, допустим есть там и линуксовые... Во вторых. Согласно терминологии например здесь http://www.infosecwriters.com/texts.php?op=display&id=156 руткит не служит для взлома системы, а служит для сохранения или получения суперпользователя aka рута на уже взломанной системе. Ну ляпнули, бывает. Ну и в третьих, все Ваши красивые теории насчет того, как пользователь из-за файрвола соединяется с хакером понятны, но непонятно только одно, а при чем тут руткит. Может Вы нам расскажете как Ваш механизм (через http или dns ) требует наличия суперпользовательских привилегий (рута)? Ну ну Ну а задачку Вашу мне решать просто неинтересно, оценивать Вы будете? Простите, но я сомневаюсь в Вашей компетентности... | |
| | |
| -- 28 Jul 2004 9:48 AM |
| 2Hoc: да что вы говорите? я им KDE регулярно обновляю. дебиан и сузя? не пользую. | |
| | |
| Нос 28 Jul 2004 10:42 AM |
| 2--: Ок. Вопрос - где берутся xdelta-патчи _бинарников_ для кде? | |
| | |
| -- 28 Jul 2004 4:00 PM |
| да совсем забыл, это у них патчи на бинарные tar-архивы сорцов, на другие ветки фтп я не смотрел, уж вы ищите сами. но принцип вы поймете. | |
| | |
| Нос 28 Jul 2004 4:38 PM |
| ну я и посмотрел (сусе, редхат, дебиан). Нет там патчей. Только полные пакеты. Так что применимо в случаях любителей компиляния всего и вся (ну еще если дома канал дохленький или качать еженедельно монстра лень). Но недостаток же очевиден: нужно иметь изначальную версию таров (и именно с ftp.kde.org, исходник из дистрибутива врядли подойдет, если это только не gentoo) и последовательно скачивать все подряд (в смысле, 3.2.1 -> 3.2.2 -> 3.2.3). Не много ли условий для просто апдейта. Особенно в случае секурити-фиксов? :) | |
| | |
| ggv 29 Jul 2004 10:58 AM |
| 212.26.229.116 - linux 2.0 on MIPS _without_ any patches. Works everyday (my home router). And it's not a single one - there are many installed in small companies. Now it's on dial-up, but before I returned to Russia it worked four years on on good wide channel. Without any problems. | |
| | |
| Dr_Zuzumbo 29 Jul 2004 6:11 PM |
| xacid: >...а маки откуда содрали? не со смоллтока ли ксероксовского?... Не сдирали они ничего, а просто ксероксовских разработчиков у себя в штат взяли. Потому, что му...аки в ксероксе недооценили разработки своих же инженеров. А то, что некрософт сдирал, сдирает и будет сдирать- сомнения не вызывает | |
| | |
| DEFILER 29 Jul 2004 8:35 PM |
| НЕТ - НОВОМУ КРЕПОСТНОМУ ПРАВУ! Поддержи акцию протеста против нового закона об авторских и смежных правах, если не хочешь лишиться возможности пользоваться компьютером! Почему, когда продолжительность жизни россиян сокращается, а технический прогресс убыстряется, авторские права продлевают на 20 лет? ДИКТАТУРЕ КОРПОРАЦИЙ - НЕТ! ПРОТЕСТУЙ, ПОКА МОЖЕШЬ! | |
| | |
| Skull - sibskullmail.ru 30 Jul 2004 6:44 PM |
| Факты: http://www.theinquirer.net/?article=17504 "Согласно обзору, подготовленному Evans Data, 92% респондентов - пользователей Linux заявили, что их системы никогда не были заражены вирусами. Также 78% опрошенных заявило, что их Linux никогда не был взломан." Виндузятники - плачьте! :) | |
| | |
| MOHTEP 30 Jul 2004 8:03 PM |
| Как!? Неужеди всех пользователей линукса опросили? Все сто пятьдесят? Это же сколько общежитий обойти надо было! | |
| | |
| torvic 31 Jul 2004 12:32 AM |
| А 8% прямо так и сказали: мой Линукс был заражен вирусом ??? Офигеть ... на ЛОР'е надо было опрос проводить | |
| | |
| AlexGT 2 Aug 2004 7:52 AM |
| и 22% компьютеров с линуксом были взломаны?. красиво... | |
| | |
| Skull - sibskullmail.ru 2 Aug 2004 11:43 AM |
| 2AlexGT: вы ещё забыли, что есть пункт ответа "затрудняюсь ответить". А сколько таких заражений было в MS Windows? :) | |
| | |
| Sanchin - sanchinmail.ru 2 Aug 2004 2:33 PM |
| Я тут случайно, извините, почитал весь этот бред, извините по другому ну никак не назовешь, и просто хотел отметить - ни в коем случае не для полемики, что проблема не только и не сколько в операционке, а в юзере-администраторе. А выкрики Линукс - вива, а Виндовс - маздай и наоборот, это простое течение времени. И это пройдет... | |
| | |
| Пётр 16 Aug 2004 2:22 PM |
| странно, а мои виндовые компьютеры тоже никогда не были заражены вирусами и не были взломаны. Может и правда поплакать. | |
| | |
| http://oakleysunglass.blogspot.com - gatesmicrosoft.ru 8 Feb 2007 3:16 PM |
| http://oakleysunglass.blogspot.com here you can buy cheap Oakley sunglasses | |
| | |
| http://oakleysunglass.blogspot.com - gatesmicrosoft.ru 8 Feb 2007 3:16 PM |
| http://oakleysunglass.blogspot.com here you can buy cheap Oakley sunglasses | |
| | |
| ← июнь 2004 | 12 13 14 15 16 18 19 20 21 | август 2004 → |
Место для Вашей рекламы!