|
|
[ Ivan Dimkovic @ 20.03.2008. 13:10 ] @
|
| Evo sta kaze Secunia (http://secunia.com/):
NetBSD 3.1 - Affected By 3 Secunia advisories
OpenBSD 4.2 - Affected By 8 Secunia advisories
Windows Vista - Affected By 24 Secunia advisories
FreeBSD 6.x - Affected By 41 Secunia advisories
Fedora 8 - Affected By 94 Secunia advisories
Apple OS X - Affected By 116 Secunia advisories
SuSE Linux 1.0.1 - Affected By 154 Secunia advisories
Windows XP Professional - Affected By 204 Secunia advisories
Debian GNU/Linux 4.0 - Affected By 228 Secunia advisories
Mandriva Linux 2007 - Affected By 263 Secunia advisories
|
[ windows_zakon @ 20.03.2008. 14:01 ] @
Ja ne znam o cemu oni pisu.
Generalno mislim da je ta statistika flawed.
Jedini 'pravi' bug za linux (u ostale ne ulazim, posto ih ne konzumiram) je bio onaj prije mjesec dana local root preko kernela, ostalo su toliko beznacajni da nema poente da se spominju, a kamoli to da gruvaju tolike cifre i plase narod i sire dezinformacije o securityu navedenih distribucija.
Druga stvar, te Linux distribucije navedene, koriste isti softver, samo ga prepakuju u svoj {deb,rpm,...} format i dodaju par patcheva, tako da to sto pise da fedora ima 80 'security advisory-a' a debian 200 ... ne znam koliko je to ispravno.
A pogotovo kad je Debian u pitanju i stable bransa... koja ima 'zastarijele' pakete, kako bi oni rekli... zesce istestirane.
Il mozda ja nesto ne kontam.
[ Ivan Dimkovic @ 20.03.2008. 14:14 ] @
Ocigledno ne kontas.
Secunia je vrlo pouzdan izvor informacija o sigurnosti softvera - to sto ti imas licno iskustvo sa "samo jednim pravim bugom za linux" ne znaci da je to i jedini, daleko od toga - tacno mozes videti koliko ima kriticnih bagova za neki OS, a ako je bug "critical" to znaci da je i te kako potencijalno opasan.
Evo bas je upravo otkrivena i masa kriticnih bagova u Kerberos protokolu ( http://www.channelregister.co.uk/2008/03/20/kerberos_vulns/) - na svu srecu je Kerberos patchovan, ali to samo govori kako ni vrlo nadgledan softver (kao recimo implementacija Kerberos protokola) nije imun na rupe. A rupa u sigurnosnom protokolu je i te kako gadna stvar sa mnogo gorim mogucim posledicama od inficiranja racunara radi slanja spam-a.
Citat:
a kamoli to da gruvaju tolike cifre i plase narod i sire dezinformacije o securityu navedenih distribucija.
Vidi, Secunia se bavi analizom sigurnosti velikog broja softverskih proizvoda. Nije njima cilj da "sire dezinformacije o navedenim distribucijama" (sic) vec da budu pouzdan izvor informacija o sigurnosti softverskih proizvoda bez ikakve pristrasnosti prema bilo kom od njih.
Evo za neki dan ce novi Pwn2Own contest - http://www.theregister.co.uk/2008/03/19/pwn2own_contest_returns/ - sa 3 "fully patched" OS-a: Vista, Linux i OS-X. Bice interesantno videti koji ce biti prvi hackovan - ja tipujem na OS X :)
--
Inace jako je zanimljivo kako Linux komuna polako pocinje da ima vrlo negativan stav prema firmama kao sto je Secunia. Pre nekoliko godina su to bili glavni izvori informacija kako je "Windows djubre", a sada kada se rezultat okrenuo na drugu stranu oni postaju "izvor dezinformacija" ... :) [ bags @ 20.03.2008. 14:21 ] @
Ocekujem vesele dane na Advocacy posto je Ivan na odmoru. ;)
[ madamov @ 20.03.2008. 14:41 ] @
U to ime ću i dalje na svim svojim Macovima da držim firewall otvoren. B)
[ windows_zakon @ 20.03.2008. 16:28 ] @
Ivane,
Ako su propusti u softveru i sl. tipa kerberos, onda ne mozes da navedes "linux" iliti "debian, redhat" i da napises "200 propusta", zato sto je to softver koji proizvodi MIT, a ne debian ili slicno - koji na kraju krajeva, po defaultu ti to i ne instaliraju na sistem. To je third party softver, poput winampa ili neceg drugog na windowsu.
I sigurno se nece bug u winampu, pripisati windowsu, da je bug windowsa... - bar ne bi trebalo, a ako se ipak pripise, znaci da je istrazivanje lose i glupo.
Citat:
Inace jako je zanimljivo kako Linux komuna polako pocinje da ima vrlo negativan stav prema firmama kao sto je Secunia. Pre nekoliko godina su to bili glavni izvori informacija kako je "Windows djubre", a sada kada se rezultat okrenuo na drugu stranu oni postaju "izvor dezinformacija" ... :)
Pa naravno, kad ubrajaju (i samim tim blate reputaciju) u svoja istrazivanja propuste u php skriptama, da bi se windows tabor dichio enormnim brojkama difejsovanih sajtova koji rade pod linuxom, kao propustom linuxa, a ne propustom phpbb-a.
Sve ovo kazem iz jednog razloga. Kad neki CEO ili ko vec, ko bira na kojoj platformi ce neki softver za firmu da radi, vidi na zone-h da linux ima 20k dnevno difejsovanih sajtova, naravno da ce da se uplasi... a generalno, to je dezinformacija.. jer recimo, ja nisam naletio da negdje pise citko vidljivo i jasno da su to propusti third party softvera.
Ovo sve sto govorim, ne govorim samo za Linux platformu, vec i za Windows... i kad kazem da je istrazivanje 'flawed' onda mislim i na Linux, Windows a i *BSD itd.
Ali ok, ljudi na secuniji su i napisali ovo sto sam ja napiso, samo sto to nece niko ziv procitati.
"It should also be noted that some operating systems (e.g. certain Linux distributions) bundle together a large number of software packages, and are therefore affected by vulnerabilities, which do not affect other operating systems (e.g. Microsoft Windows) that don't bundle together a similar amount of software packages.
Additionally, the number of Unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions). Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software; this affects the statistics looking at Unpatched issues A direct and fair comparison of Unpatched issues for e.g. Microsoft Windows and Linux distributions is therefore NOT possible using the aggregated Secunia statistics."
A pogledaj ovu zadnju sliku
http://secunia.com/graph/?type=imp&period=2008&prod=13844
Cross site scripting ? Linux problem ?
P.S.
Pa, trebali su da stave Debian stable.
Znam da je Ubuntu baziran na Debianu, ali definitivno nije baziran na stable bransi, jer oni ne koriste 'bleeding edge' pakete, vec pakete koju su istestirani mnogo i od strane debian security tima, i od strane vendora softvera i od strane citavog komjunitija.
Primjer:
Latest Debian Stable: SSH-2.0-OpenSSH_4.3p2 Debian-9
Latest Debian testing (fazon ubuntua): SSH-2.0-OpenSSH_4.7p1 Debian-2
[ Ivan Dimkovic @ 20.03.2008. 16:34 ] @
Citat:
Ako su propusti u softveru i sl. tipa kerberos, onda ne mozes da navedes "linux" iliti "debian, redhat" i da napises "200 propusta", zato sto je to softver koji proizvodi MIT, a ne debian ili slicno - koji na kraju krajeva, po defaultu ti to i ne instaliraju na sistem. To je third party softver, poput winampa ili neceg drugog na windowsu.
I sigurno se nece bug u winampu, pripisati windowsu, da je bug windowsa... - bar ne bi trebalo, a ako se ipak pripise, znaci da je istrazivanje lose i glupo.
Gde sam ja to rekao?
Ja sam samo naveo Kerberos kao primer da i softver koji se >vrlo intenzivno testira i nadgleda< moze imati kriticne bagove.
Citat:
Ovo sve sto govorim, ne govorim samo za Linux platformu, vec i za Windows... i kad kazem da je istrazivanje 'flawed' onda mislim i na Linux, Windows a i *BSD itd.
Pa i BSD distribucije dolaze sa tonom softvera, pa kao sto vidimo ne pade ni izbliza od sigurnosnih propusta kao neki Linux distro-i.
Ili recimo Linux distroi - Nemoj mi reci da Mandriva ima mnogo vise paketa od SuSE Linuxa pa da je zavrednovala preko 100 propusta vise.
Citat:
Cross site scripting ? Linux problem ?
Ako je browser koji omogucava cross-site scripting implementiran na Linuxu onda definitivno jeste Linux problem. Ili problem odredjene distribucije.
Citat:
Sve ovo kazem iz jednog razloga. Kad neki CEO ili ko vec, ko bira na kojoj platformi ce neki softver za firmu da radi, vidi na zone-h da linux ima 20k dnevno difejsovanih sajtova, naravno da ce da se uplasi... a generalno, to je dezinformacija.. jer recimo, ja nisam naletio da negdje pise citko vidljivo i jasno da su to propusti third party softvera.
Po cemu je dezinformacija? Third party softver?
Nije nego - ono sto dolazi na DVD-u je DEO PROIZVODA - Distro Vendori naplacuju za taj DVD, reklamiraju feature koji su deo programa na tom DVD-u i naravno da ocekujem da oni urade testiranje koje opravdava cenu.
Ako nesto prodajes, ti si odgovoran za to.
Uostalom Secunia ne otkriva propuste u "Linuxu" vec u konkretnim distribucijama" - ako kazes da Mandriva ta i ta ima 254 propusta, to se odnosi na konkretnu distribuciju a ne na Linux uopste. [ Ivan Dimkovic @ 20.03.2008. 16:43 ] @
Citat:
Pa, trebali su da stave Debian stable.
Znam da je Ubuntu baziran na Debianu, ali definitivno nije baziran na stable bransi, jer oni ne koriste 'bleeding edge' pakete, vec pakete koju su istestirani mnogo i od strane debian security tima, i od strane vendora softvera i od strane citavog komjunitija.
Primjer:
Latest Debian Stable: SSH-2.0-OpenSSH_4.3p2 Debian-9
Latest Debian testing (fazon ubuntua): SSH-2.0-OpenSSH_4.7p1 Debian-2
Ma da, a onda kada Debian Stable nema drajvere za nesto ili nesto ne radi kako korisnik hoce, onda sledi savet "Stavi neku drugu distribuciju"
Mislim, za svaki drugi Use Case postoji druga preporuka za Linux Distro... Da pitas 10 Linux korisnika dobio bi 11 saveta.
Mogli su i umesto Viste da stave Windows Server 2008 po toj logici. [ windows_zakon @ 20.03.2008. 16:49 ] @
Spomenuo sam Debian stable zato sto je to bransa debiana koja je namjenjena za servere, za razliku od testing/unstable branse.
Doduse, i Vista je stavljena umjesto Windows server platformi, my bad - mislio sam da se testiraju serveri.
Citat:
Po cemu je dezinformacija? Third party softver?
Nije nego - ono sto dolazi na DVD-u je DEO PROIZVODA - Distro Vendori naplacuju za taj DVD, reklamiraju feature koji su deo programa na tom DVD-u i naravno da ocekujem da oni urade testiranje koje opravdava cenu.
Ako nesto prodajes, ti si odgovoran za to.
Pa ne mozes ocekivati od RHEL-a da garantuju za sigurnost softvera koji dodje na DVD-u kad kupis isti.
Mislim, zar ti tako razmisljas ?
Oni mogu naprimjer da budu odgovorni za RedHat clustering suite... ili kako se ono zove, jer je to njihov proizvod, i dio je distribucije, isto kao IIS sto je dio Windowsa ili nesto drugo.
Linux svijet, ukljucujuci i RedHat ne naplacuje svoje proizvode. Vec naplacuju samo support.
[ Ivan Dimkovic @ 20.03.2008. 16:55 ] @
Citat:
Pa ne mozes ocekivati od RHEL-a da garantuju za sigurnost softvera koji dodje na DVD-u kad kupis isti.
Mislim, zar ti tako razmisljas ?
Naravno da razmisljam - sto bih ga inace placao (a fakat je da mnoge Linux distribucije na DVD-u kostaju)?
To samo govori o ozbiljnosti nekih Linux distribucija.
Kako recimo NetBSD izadje toliko manje busan iz "fabrike"? Bice da NetBSD tim posvecuje mnogo vise paznje QA ciklusu nego mnogi Linux distroi.
Citat:
Linux svijet, ukljucujuci i RedHat ne naplacuje svoje proizvode. Vec naplacuju samo support.
Nije sija nego vrat... znaci zato mozes da narucis disk i da pljunes pare. Oni zaradjuju direktno na tom kodu koji distribuiraju, i treba da budu odgovorni da on bude stabilan.
Vidis ja razmisljam sa mnogo cistijom ekonomskom logikom - Firma A zaradjuje pare direktno od odredjenog koda. Nebitno da li oni to pakuju u "troskove podrske", "troskove stancanja DVD-a" ili ne znam ti ja cega - oni direktno zaradjuju pare od tog koda. Jer, da nema tog koda - ne bi bilo ni njihovog profita. Zbog toga ih i te kako smatram odgovornim da taj kod bude stabilan.
To ljudi ocekuju kada plate nesto. A ne gomilu izgovora. [ windows_zakon @ 20.03.2008. 17:08 ] @
Izadje mnogo manje bushan zato sto nema ni upola third parti softvera koliko ih Linux ima... a i ono sto ima, obicno kasni (i to ne zbog razgledanja koda, da se nadje propust), pa se vec skontaju rupe zbog distribucija koje izbacuju bleeding edge pakete.
Mada mozda nisam u pravu, zadnji put sam BSD koristio prije 5 godina.
Citat: To ljudi ocekuju kada plate nesto. A ne gomilu izgovora.
Jasno, ali neko ko kupi softver, ne moze ocekivati isti da bude savrsen, pa cak i kad ga plati.
Ni ti ljudi koji kupuju, nisu savrseni, a ni hrana koju jedu nije savrsena, a isto placaju.
Obaveza ljudi koji prodaju distribucije ili dvd-ove, nije ni bitno, je brz response time. Ako se propust i pojavi, sto je neminovno... i bilo i bice, vendor je obavezan da u sto kracem roku izbaci workaround/patch za isti...
Pogledaj Windows... to si tek platio ... pa ne mozes reci da je savrsen i da nema propusta i tako dalje.
[ Ivan Dimkovic @ 20.03.2008. 17:11 ] @
Citat:
Pogledaj Windows... to si tek platio ... pa ne mozes reci da je savrsen i da nema propusta i tako dalje.
Cifre jako jasno kazu da propusta ima znacajno manje od Linuxa, Mac OS X-a i sl...
U svakom slucaju, sa tim pricama o tome "sta jeste a sta nije Linux" se nece ici nigde - tesko da ce Linux komuna promeniti kupce, vec ce morati da se prilagodi kupcima ako zeli malo veci deo corporate kolaca. [ windows_zakon @ 20.03.2008. 17:32 ] @
Pa nije samo stvar u propustima, stvar je u spajveru i virusima i slicno...
Naravno, nije Windows kriv (manje vise) zbog toga, ali zahvaljujuci Windows platformi, ja, a vjerujem i mnogi drugi, dobijaju 40 spam poruka dnevno, i slicno.
Ti ako drzis firmu, i imas recimo 10 licenciranih windows masina (koje si platio, poprilicno) a racunar ti shteka, zaglupljuje se i slicno, koga onda treba kriviti ?
Mislim, ja nemam problema stim, a mozda nemas ni ti, ali u cilju prilagodjavanja Windowsa shirokim narodnim masama, danas postoji s***** koje postoji ... i jednostavno ne moze drugacije... ili kvalitet ili kvantitet.
Sad Vista kad je uvela UAC, svi se bune kako je tesko ovo kako je tesko ono... smara i tako dalje, isto sto su govorili i za Linux. Ne moze jednostavno sve biti savrseno.. bar ne josh.
Poenta je eliminisati ego i subjektivnost, i sagledati stvari objektivno. Linux u poslednjih 5 godina je nenormalno puno napredovao. Kad je rijec o Desktop sistemima, dobar je... problem je sto ljudi ocekuju da bude "ko windows" jer su na to naucili, a nece nikad biti... i svi pokusaji da se to napravi ce propasti, ili ce uspjeti, ali ce imati iste probleme kao sto ima Windows.
[ Ivan Dimkovic @ 20.03.2008. 17:38 ] @
Citat:
Naravno, nije Windows kriv (manje vise) zbog toga, ali zahvaljujuci Windows platformi, ja, a vjerujem i mnogi drugi, dobijaju 40 spam poruka dnevno, i slicno.
I zahvaljujuci Linuxu - odredjen broj SPAM-a (oko 13-14% koliko sam mogao da pronadjem) dolazi i sa Linux masina. Cisto sumnjam da su vlasnici tih Linux masina svesni sta se desava.
Fakat je da ni jedan OS nije siguran ako je korisnik glup - ali hajde objektivno da sagledamo stvari i da vidimo koliko je koji OS zaista busan. [ windows_zakon @ 20.03.2008. 17:57 ] @
Citat:
I zahvaljujuci Linuxu - odredjen broj SPAM-a (oko 13-14% koliko sam mogao da pronadjem) dolazi i sa Linux masina. Cisto sumnjam da su vlasnici tih Linux masina svesni sta se desava.
Sigurno, ali kao neko ko je radio za firmu koja se bavi spamom (/me ducks) mogu reci samo da bar 10 % od toga je ... namjerno. T.j. veliki ISP-ovi iznajmljuju servere pod linuxom spam firmama, i dopustaju spamovanje ... jer su velike pare u pitanju. U mom slucaju, 50mbps outbound smtp saobracaja, konstantno na 1gbps dedicated linku (Ostatak linka je sluzio za druge stvari). - I podrazumjeva se, gledaju im kroz prste jer su velike pare u pitanju.
A i kad je dolazilo do toga da provajderi gase uslugu, nakon godinu, dvije.. radilo se seljenje na druge provajdere, koji i ako su znali sta se desava, rado su pola godine trpili zalbe i pritom zaradili dosta para...pa nova selidba.
Citat:
Fakat je da ni jedan OS nije siguran ako je korisnik glup - ali hajde objektivno da sagledamo stvari i da vidimo koliko je koji OS zaista busan.
Pa ovo je vjerovatno mnogo tesko, t.j. mogla bi se dugotrajna prica razvezati o ovoj temi, a takve price bas nisu pogodne za forume iz vise ociglednih razloga.
[ Marko_R @ 20.03.2008. 20:56 ] @
Interesantno da OpenBSD ima više propusta od NetBSD, iako je pravljen sa naglaskom na sigurnost.
[ Danijel Krmar @ 20.03.2008. 21:08 ] @
Citat: windows_zakon:
Ti ako drzis firmu, i imas recimo 10 licenciranih windows masina (koje si platio, poprilicno) a racunar ti shteka, zaglupljuje se i slicno, koga onda treba kriviti ?
Verovatno admina koji nije konfigurisao kompove kako treba i koji je ostavio racunare da trce pod administratorskim nalogom, sto sam cesto sretao u firmama koje odrzavaju sve samo ne strucni ljudi.
Citat:
Mislim, ja nemam problema stim, a mozda nemas ni ti, ali u cilju prilagodjavanja Windowsa shirokim narodnim masama, danas postoji s***** koje postoji ... i jednostavno ne moze drugacije... ili kvalitet ili kvantitet.
Ovo je bilo tacno nekada. Pocelo se menjati vec sa windowsom 2000 i XP-om, a posebno kad je dosao SP2. Odnosno vec i pre izdavanja XP-a, sigurnost je za Microsoft postala izuzetno bitna, cak i jedna od kljucnih strategija za dalji razvoj, sto je i dovelo do mnogih sigurnosnih sistema u Visti.
Citat:
Poenta je eliminisati ego i subjektivnost, i sagledati stvari objektivno. Linux u poslednjih 5 godina je nenormalno puno napredovao. Kad je rijec o Desktop sistemima, dobar je... problem je sto ljudi ocekuju da bude "ko windows" jer su na to naucili, a nece nikad biti... i svi pokusaji da se to napravi ce propasti, ili ce uspjeti, ali ce imati iste probleme kao sto ima windows.
Slazem se sa tobom da je linux kao desktop sistem dosta napredovao i stanje danas se ne moze porediti sa stanjem od pre par godina. Medjutim ne mogu se sloziti da ljudi ocekuju od linuxa da bude kao windows. Vec par puta sam vidjao to kao argument i uvek me je malo iritirao.Evo kao primer, od Mac OS X-a niko ne ocekuje da bude kao windows, princip rada na njemu u odnosu na windows vise se razlikuje nego sto je to slucaj sa windowsom i linuxom, ali za OS X se ne moze reci da nije user friendly, verovatno je jednostavniji za koriscenje i od windowsa (ne mogu da tvrdim, nisam ga nesto preterano koristi), dok linux tu ipak jos kaska. Mislim to su pausalne ocene, uporedive sa tvrdnjama da se bez dobrog CLI-a ne moze raditi (sto je opet dosta tacno za administratore zbog cega je i razvijen powershell i SFU, ali za obicne korisnije je apsolutno nebitno).
Uzgred, sto se tice linuxa, mislim da bi za neko brze napredovanje trebalo da se razvoj svede na maksimalno 3-4 distibucije, sa tacnim razgranicenjem koja je za desktop a koja za server (od toga recimo RHEL ili SLES za servere, OpenSuSE ili Ubuntu za desktop i Debian kao platforma za custom ili in-house resenja). Ovo mislim posebno s tim na umu da postoji Solaris (koji je takodje besplatan, tj.placa se support) koji je daleko napredniji od linuxa kao serverska platforma.
[Ovu poruku je menjao krmard84 dana 20.03.2008. u 22:19 GMT+1][ windows_zakon @ 20.03.2008. 22:18 ] @
Citat:
Verovatno admina koji nije konfigurisao kompove kako treba i koji je ostavio racunare da trce pod administratorskim nalogom, sto sam cesto sretao u firmama koje odrzavaju sve samo ne strucni ljudi.
Takve ljude nisam smatrao administratorima.
Citat:
Ovo je bilo tacno nekada. Pocelo se menjati vec sa windowsom 2000 i XP-om, a posebno kad je dosao SP2. Odnosno vec i pre izdavanja XP-a, sigurnost je za Microsoft postala izuzetno bitna, cak i jedna od kljucnih strategija za dalji razvoj, sto je i dovelo do mnogih sigurnosnih sistema u Visti.
Sigurnosni sistemi u visti su (lose implementirana) kopija linuxa, na kojem se pored toga, daleeeeeeeeeeeeko vise stvari moze implementirati, koje je ne moguce na windowsu, a koji isto tako, ne dolaze po defaultu na linuxu, a i 95 % njih i ne zna za te stvari, niti zeli da zna, jer skoro pa i nema potrebe za tim, ali se moze, ako se hoce.
Nemoguce je implementirati zato sto je MS closed source softver, i imas ono sto ti oni daju...i to je to, kome odgovara super. Right tool for the right job. Ponovo ja.
A ovo mi nije jasno za XP ... XP je u stvari i najveci problem u svijetu informatike. Ponovo napominjem, nek se Ivan ili bilo ko ne nadju uvrijedjenim - jer kod njih je sve ok, vec govorim za siroke narodne mase koji u roku 3 dana od instalacije i kacenja na net, imaju prosjecno 100 spajvera i virusa koji spamuju i ko zna sta ne rade sve.
Botneti itd.
Spam, botneti i ostalo je dozivjelo svoj vrh od kad je XP uzeo maha. Nebulozno je govoriti protiv te tvrdnje.
Citat:
Ovo mislim posebno s tim na umu da postoji Solaris (koji je takodje besplatan, tj.placa se support) koji je daleko napredniji od linuxa kao serverska platforma.
Jeste ako planiras da imas SMP sistem sa 32 procesora, i ako planiras da koristis specificne servise koji su razvijani da rade pod solarisom.
Tako da generalizovati to - ne prolazi.
Na kraju, usporedi razvoj Linuxa, Windowsa, Solarisa, *BSD-a.
I onda ocjeni sta ce biti za 10 godina. Linux vec ima ogroman komjuniti i svaki dan sve vise i vise raste.
Firme poput MSa za odredjeni broj godina, jednostavno nece moci vise da ubijaju razvoj linuxa davanjem para fakultetima da koriste MS platformu za razvoj softvera i ostali marketinski folovi(tipa ono sa patentima,fud) kojima se oni bave.
Nije mi cilj da izazovem flamewar itd sto je ovde cesta pojava, samo se izjasnjavam.
[ Ivan Dimkovic @ 20.03.2008. 22:25 ] @
Citat: windows_zakon
Sigurnosni sistemi u visti su (lose implementirana) kopija linuxa, na kojem se pored toga, daleeeeeeeeeeeeko vise stvari moze implementirati, koje je ne moguce na windowsu, a koji isto tako, ne dolaze po defaultu na linuxu, a i 95 % njih i ne zna za te stvari, niti zeli da zna, jer skoro pa i nema potrebe za tim, ali se moze, ako se hoce.
Nemoguce je implementirati zato sto je MS closed source softver, i imas ono sto ti oni daju...i to je to, kome odgovara super. Right tool for the right job. Ponovo ja.
Da li mozes da elaboriras malo koji su to konkretno sigurnosni sistemi na Visti "losa kopija Linuxa" ?
* Da li si ti svestan da NT kernel moze da ima ACL-ove primenjene na svaki kernel objekat (handle, fajl, thread, proces, mutex, kriticnu sekciju itd...) i da je to superiorno u odnosu na prastari Unixoidni sigurnosni model fajl permisija?
* Da li si ti svestan da NT kernel ima daleko fleksibilniji model permisija i dodele prava od Linuxa?
* Sta je tacno lose u NT-ovim ASLR-u (Adress Space Randomization) i koji je to Linux ekvivalent "superioran", i kako?
* Sta je tacno lose u NT-ovim DEP-u (Data Execution Prevention) i koji je to Linux ekvivalent "superioran", i kako?
* Da li Linux ima opciju da enforsuje potpise drajvera kao 64-bitna Windows Vista?
* Koji su Linux ekvivalenti za Kernel PatchGuard ugradjen u Vistu, i zasto su superiorniji?
I sta konkretno mislis pod "daleeeeko vise" sto se moze implementirati?
Sorry, ali meni ovo mirise na tipican Linux FUD - takodje mogu da primetim kako sigurnosna slika ide sve vise u korist Viste i to pokazuju objektivne analize kao sto je Secunia Advisory, Linuxovci sve vise pribegavaju FUDanju i nekakvim subjektivnim konstruktima kao sto je ovo sto si napisao. [ windows_zakon @ 20.03.2008. 22:43 ] @
Citat:
* Da li si ti svestan da NT kernel moze da ima ACL-ove primenjene na svaki kernel objekat (handle, fajl, thread, proces) i da je to superiorno u odnosu na prastari Unixoidni sigurnosni model fajl permisija?
* Da li si ti svestan da NT kernel ima daleko fleksibilniji model permisija i dodele prava od Linuxa?
Jes ti agresivan lik.
Pa aj ovako, to sto si ti naucio da 'koristis ono sto ti dodje na cd-u upakovano u nesto sto se zove Windows' je bas problem. A fazon kod linuxa je ako hoces da tako nesto (i daleko superiornije, docemo do toga kasnije) imas mozes, a ako neces ne moras.. i imas default, kako bi ti reko prastari sistem, koji je za vecinu zadovoljavajuci.
Ti si to fino napisao na srpskom, da citav svijet razumje...a ja ipak se necu toliko truditi pa cu samo copy/paste.
Key Features
*
Free Open Source (GPL) Linux kernel security solution
*
Independent of governments and big companies
*
Several well-known and new security models, like MAC, ACL and RC
*
On-access virus scanning with the Dazuko interface
*
Detailed control over individual user and program network accesses
*
Fully access controlled kernel level user management
*
Any combination of security models possible
*
Easily extensible: write your own model for runtime registration
*
Support for latest kernels and stable for production use
Primjer:
With Role Compatibility (RC) model, you can protect all executables and configuration settings against any user, including root (in case of root exploits). Configuration changes or accesses to files like ‘/etc/shadow’ might only be done with certain programs that got a specific clearance for that.
Additionally, RC can encapsulate most daemons running on a systems so that they have exactly the type of access to every single object that is absolutely necessary. This way, a buggy daemon cannot harm the system, other daemons, users, or anything it has no specific clearance for.
Link: http://www.rsbac.org/documenta...ty_models?m=subsecurity_models
Mislim da ovo obuhvata sve to sto si ti napisao + jos.
Citat:
Sorry, ali meni ovo mirise na tipican Linux FUD - takodje mogu da primetim kako sigurnosna slika ide sve vise u korist Viste i to pokazuju objektivne analize kao sto je Secunia Advisory, Linuxovci sve vise pribegavaju FUDanju i nekakvim subjektivnim konstruktima kao sto je ovo sto si napisao.
Objektivne analize, jea right...mislim, secunia napisala da to bas i ne ide tako, a ti si nasao da pricas o objektivnim analizama.
Na zalost, mnogi se naloze na to sto ti pises, zato sto ih pises kako ih pises, pa znaju i kad si na godisnjem.
Citat:
Da li mozes da elaboriras malo koji su to konkretno sigurnosni sistemi na Visti "losa kopija Linuxa" ?
Mislis sudo ?
sudo sa porukom "do you really want to do this?" i ta prica.
Jbt, na Linuxu si to mogao raditi prije 5 godina, sto Vista sad ima...
Pogledaj samo 2008 server, uvode 'konzola' okruzenja ... a ti si pricao prije par godina kako je konzola s***** i kako se to tako vise ne radi i slicna prica. Sad prave PowerShell ...
[ Danijel Krmar @ 20.03.2008. 22:49 ] @
Sto se tice losih admina, oni su na zalost stvarnost i srecu se jako cesto.
Sto se tice sigurnosnih sistema Ivan je naveo par njih, vec same ACL su daleko superiornije od onih koje se nalaze u linuxu. A to da je windows closed source, to je vec prezvakano previse puta i jasno je da vecini korisnika nista ne bi znacilo i da imaju source windowsa. Ako moze navedi sta se to puno vise moze implementirati na linuxu, stvarno me zanima?
A u vezi Solarisa, jeste da je daleko skalabilniji, ali i manja okruzenja mogu profitirati. DTrace, ZFS, kontejneri obicnim korisnicima nista ne znace, ali adminima mogu dosta olaksati posao. O API/ABI kompatibilnosti da ne pricamo.
[ Ivan Dimkovic @ 20.03.2008. 22:51 ] @
I koliko Linux korisnika koristi to sto si naveo, jel dolazi aktivirano u popularnim distroima? Znas, ono sve sto sam napisao za NT Kernel dolazi "out of the box" sa svakom instalacijom :)
Mislim, znas, postoji i RTOS dodatak za Windows NT Kernel koji ga prosiruje sa RTOS funkcionalnoscu - totalno suprotno tvojoj miskoncepciji da je Windows neprosirljiv. Prosirljiv je i te kako i firme koje zele da se bave razvojem takvih komponenti i te kako mogu dobiti podrsku koja im je potrebna. Mozes mu dodavati nove podsisteme koji nemaju veze sa Win32 i sama arhitektura NT Kernela je vrlo modularna za razliku od monolitnog Linuxa, sto mu daje naprednije mogucnosti za prosirenje a ne samo "pakovanje" u kernel.
Ja ne znam sto je toliki problem da se prihvati da razni Linux distroi imaju dosta otkrivenih sigurnosnih propusta, medju kojima se nadje i odredjen broj vrlo kriticnih... Ne znam da li to u stvari dira u ego Linux advokata posto im remeti pricu o "ultra sigurnom Linuxu" u odnosu na "busni Windows", sta li...
[ windows_zakon @ 20.03.2008. 22:57 ] @
Citat:
Sto se tice sigurnosnih sistema Ivan je naveo par njih, vec same ACL su daleko superiornije od onih koje se nalaze u linuxu. A to da je windows closed source, to je vec prezvakano previse puta i jasno je da vecini korisnika nista ne bi znacilo i da imaju source windowsa.
Procitaj moj post prije ovog ponovo.
Pa ne bi, sto bi iko radio na kontribuciji koda i razvijanju daljnjem tog OS-a.. kad je to komercijalni softver na kojem neko zaradjuje gomilu para i jednostavno ne bi islo.
Nisam nikad ni potenciro da bi to 'upalilo' u slucaju MS-a, naravno da ne bi.
Citat:
Ako moze navedi sta se to puno vise moze implementirati na linuxu, stvarno me zanima?
Naveo, procitaj prethodni post.
Citat:
A u vezi Solarisa, jeste da je daleko skalabilniji, ali i manja okruzenja mogu profitirati. DTrace, ZFS, kontejneri obicnim korisnicima nista ne znace, ali adminima mogu dosta olaksati posao. O API/ABI kompatibilnosti da ne pricamo.
Solaris radi bolje od Linuxa, sa vise procesora... i to bas vise. Zato sto Linux nije bas predvidjen za rad sa 30 procesora.
ZFS imas i za Linux. Inache, naveo si 3 primjera. Fazon je da je linux 'Best Buy' ne doslovno, naravno :) u odnosu na Solaris. Ono sto ti daje Linux, sve ukupno je vise nego sto ti daje Solaris. Solaris je, neosporno, bolji u odredjenim situacijama i uvjetima, ali malo je toga. [ Ivan Dimkovic @ 20.03.2008. 23:00 ] @
Citat:
Naveo, procitaj prethodni post.
U tom postu uopste nisi odgovorio sta je to u Linuxu "superiorno" - vec si samo postavio link na projekat koji nije deo tipicnih Linux distribucija i koji prosiruje Linux dajuci mu moderne metode sigurnosti koje NT kernel mahom poseduje odavno (izuzev DEP-a i ASLR-a koji su dodati u Vista kernelu).
Vidis, ima tu jos par problema - prvo RSBAC nije standard, dok je Windows sigurnosni model takav da mozes ocekivati da ga svaka Windows instalacija ima. Sitnica :)
Ti tu ne vidis prednost? Hehe, siguran sam da je vidis - samo neces da priznas :)
Dalje, uopste mi nije jasno sta je to u Windowsu neprosirljivo? Kernel funkcionalnost mozes prosiriti preko svojih Ring 0 drajvera. Mozes napisati svoj sopstveni podsistem (kao sto su Win32 ili Posix), dodati svoje fajl sisteme, itd...
[ windows_zakon @ 20.03.2008. 23:02 ] @
Citat:
I koliko Linux korisnika koristi to sto si naveo, jel dolazi aktivirano u popularnim distroima? Znas, ono sve sto sam napisao za NT Kernel dolazi "out of the box" sa svakom instalacijom :)
Koristi mozda 1 %.
Ne.
Jasno.
Poenta je da moze, i da je dostupno. I da je bilo dostupno prije 5 godina, kad sam i saznao za ovo prvi put.
Tako da prica ta, jednostavno otpada.
Citat:
Ja ne znam sto je toliki problem da se prihvati da razni Linux distroi imaju dosta otkrivenih sigurnosnih propusta, medju kojima se nadje i odredjen broj vrlo kriticnih... Ne znam da li to u stvari dira u ego Linux advokata posto im remeti pricu o "ultra sigurnom Linuxu" u odnosu na "busni Windows", sta li...
Pa nije problem. Tis poceo galamit.
Naravno da ima, i ima ih vise nego Windows. Jebiga, OS politika je takva, otvori svima pa .. sta bude.
Ovaj zadnji propust u linuxovom kernelu vjerovatno ne bi niko nikad nasao da je code zatvoren i da pristup kodu ima 50 ljudi.
Mislim, kome se ne svidja to, nek i ne koristi... ovako je bas interesantno. Bilo bi glupo da svi koriste jedno.
[ windows_zakon @ 20.03.2008. 23:10 ] @
Citat:
U tom postu uopste nisi odgovorio sta je to u Linuxu "superiorno" - vec si samo postavio link na projekat koji nije deo tipicnih Linux distribucija i koji prosiruje Linux dajuci mu moderne metode sigurnosti koje NT kernel mahom poseduje odavno (izuzev DEP-a i ASLR-a koji su dodati u Vista kernelu).
Vidis, ima tu jos par problema - prvo RSBAC nije standard, dok je Windows sigurnosni model takav da mozes ocekivati da ga svaka Windows instalacija ima. Sitnica :)
Ti tu ne vidis prednost? Hehe, siguran sam da je vidis - samo neces da priznas :)
dpkg -i linux-kernel-rsbac.deb
dpkg -i rsbac-utils.deb
reboot
Gotovo.
Nije upakovano po defaultu, zato sto to u realnim slucajevima nije potrebno, ali ako je potrebno, neko ko odlucuje koju ce platformu po tome, ne mzoe da kaze - Linux nema, a Vista ima.
Kad bude bilo potrebno, bice incorporated u linux kodu za par dana, nece trebati 7 godina za to + fensi sudo.
Citat:
Dalje, uopste mi nije jasno sta je to u Windowsu neprosirljivo? Kernel funkcionalnost mozes prosiriti preko svojih Ring 0 drajvera. Mozes napisati svoj sopstveni podsistem (kao sto su Win32 ili Posix), dodati svoje fajl sisteme, itd...
Pa eto hocu da imam rsbac funkcionalnosti u XP-u. Jel postoji mogucnost da to imam ?
Ili ne mora to ... hocu grsec(ekvivalent). Jel moguce ? Da skinem .. i prosirim sebi sistem da bude onakav kakav ja hocu ?
[ Ivan Dimkovic @ 20.03.2008. 23:13 ] @
Citat:
dpkg -i linux-kernel-rsbac.deb
dpkg -i rsbac-utils.deb
reboot
Gotovo.
Nije upakovano po defaultu, zato sto to u realnim slucajevima nije potrebno, ali ako je potrebno, neko ko odlucuje koju ce platformu po tome, ne mzoe da kaze - Linux nema, a Vista ima.
:) Bravo,
Upravo si otkrio razlog zasto malo koji sw. vendor hoce da pise softver za tvoj OS-of-choice...
Zato sto je vrlo nepredvidljivo sta se na njemu nalazi :)
I posle Linuxasi pricaju o nekim "standardima" :)
Citat:
Pa eto hocu da imam rsbac funkcionalnosti u XP-u. Jel postoji mogucnost da to imam ?
Mozes, samo trebas da je napises, posto izgleda nema neke velike potrebe za tim. [ windows_zakon @ 20.03.2008. 23:31 ] @
Citat:
:) Bravo,
Upravo si otkrio razlog zasto malo koji sw. vendor hoce da pise softver za tvoj OS-of-choice...
Zato sto je vrlo nepredvidljivo sta se na njemu nalazi :)
I posle Linuxasi pricaju o nekim "standardima" :)
Ne znam, ne gledam u grah. Inache, mislim da ce velika vecina poceti da pise u roku od 10 godina.
A to je sigurna propast za MS. Kad third party softver tipa fotoshop, igrice i sve ostalo sto Linux nema sad, bude dostupno.
A s obzirom na istoriju Linuxa, mora da bude tezak put. I mora da prodje dosta godina dok se to ne prihvati.
Ali kad razmislim sta ce Linux imati sve za 10 godina, uzimajuci kao referencu istoriju istog, mislim da ms treba dobro da se zamisli, i da vidi da pokusa bidovati za yahoo ponovo.
Citat:
Mozes, samo trebas da je napises, posto izgleda nema neke velike potrebe za tim.
Da, XP je pokazao da je olicenje sigurnosti, nista mu zivo ne fali, ne znam sto su pisali Vistu u opste i ubacivali sve ono sto je dostupno za Linux godinama unazad.
Malo sarkazma nije na odmet a ?
Inache, ujutro se kao radi, pa see ya... osim u slucaju da bude pretrpano porukama, onda ce bit smor.
[ xtraya @ 20.03.2008. 23:39 ] @
Citat: Mislim, znas, postoji i RTOS dodatak za Windows NT Kernel koji ga prosiruje sa RTOS funkcionalnoscu - totalno suprotno tvojoj miskoncepciji da je Windows neprosirljiv.
hihi, bas me zanima kako to radi, cisto da ubedim sebe da sam u totalnoj zabludi drndajuci po patchovanju kernela za neke mission critical procese (znas o cemu pricam, pisao sam ti na PP)
samo ne mislis da je malo "debilno" ugradjivati vista rtos patcheve u NT pored svih idiot proof shljokica (o visti bolje da ne pricam, to je tek buvlja pijaca od lampiona i fenseraja) [ ventura @ 21.03.2008. 01:32 ] @
Citat: windows_zakon:
Ali kad razmislim sta ce Linux imati sve za 10 godina, uzimajuci kao referencu istoriju istog, mislim da ms treba dobro da se zamisli, i da vidi da pokusa bidovati za yahoo ponovo.
Da je linux ekipa 1998 (btw u kojoj sam bio i ja tada) imala prilike da zaviri u vremeplov i vidi kako izgleda linux a kako windows u 2008oj godini, mislim da bi se poprilično smorili.
Ali drago mi je da vidim da entuzijazma ne nedostaje... Propast windowsa se najavljuje sa istim žarom i pre 10 godina, a i sada... To im se mora priznati :) [ windows_zakon @ 21.03.2008. 13:27 ] @
Citat:
Da je linux ekipa 1998 (btw u kojoj sam bio i ja tada) imala prilike da zaviri u vremeplov i vidi kako izgleda linux a kako windows u 2008oj godini, mislim da bi se poprilično smorili.
Ne znam na sta si mislio, al ako je to Desktop, onda nis upucen dobro.
Linuxov desktop (a kad izadje usable kde4, za par mjeseci, pogotovo) shije windowsov desktop godinama unazad vec. Govorim o interfejsu, i fleksibilnosti desktopa.
No, nebitno.. pogle video:
WINDOWS VISTA AERO VS LINUX UBUNTU BERYL:
http://www.youtube.com/watch?v=xC5uEe5OzNQ
Ovaj je dodat prije godinu dana. Sad je jos bolje. A ukucaj u youtube i "compiz fusion".
Druga stvar:
Windows Vista did not steal ideas from Mac OS X!
http://www.youtube.com/watch?v=TaIUkwPybtM&feature=related
Ovaj drugi je bas smjesan klip, oraspolozi covjeka.
- Kad smo vec ponovo skrenuli na Windows vs Linux nebulozu.
[ dr ZiDoo @ 21.03.2008. 13:31 ] @
Aj vratite se na security a ne na fancy efekte oko prozorcica.
incae gasim temu.
[ Stefan Markic @ 21.03.2008. 20:32 ] @
Vala, da imam svoju softversku kucu, bilo da je profitna ili neprofitna, nikada u svoj ozbiljan OS ne bih ubacio one silne gluposti koje ima Compiz. Don't get me wrong, i ja koristim Linux, ali ovo je smejurija. Mozda ga Linux sije u desktop efektima, ali je svejedno smejurija. Meni je ovo neozbiljno.
Citat: dr ZiDoo: Aj vratite se na security a ne na fancy efekte oko prozorcica.
incae gasim temu.
A, pa tema se ugasila odavno. :p
[ Marko_R @ 21.03.2008. 21:52 ] @
Nije!
Normalno da sistemi sa najviše paketa (Debian, Mandrivu i ne računam jer je oduvek bila katastrofalno puna bagova) imaju i najviše propusta. Na drugoj strani, BSD sistemi imaju najmanje, iako su kako vidim uzeti u obzir i eksterni paketi. To mi je bilo malo čudno, pa sam se dao na malu potragu. Našao sam da FreeBSD 6.2 i Debian 4.0 imaju istu verziju xine-lib (1.1.2), ali se kod Debian-a taj advisory pojavljuje, a kod FreeBSD-a ne. FreeBSD je izašao 3 meseca kasnije. Koliko znam, FreeBSD ne održava eksterne pakete (samo bazni sistem). Kladim se da to nije jedini slučaj.
Dalje,
Citat: Secunia has issued a total of 151 Secunia advisories in 2003-2008 for Microsoft Windows Server 2003 Standard Edition. Currently, 7% (11 out of 151) are marked as Unpatched with the most severe being rated Less critical
Citat: Secunia has issued a total of 204 Secunia advisories in 2003-2008 for Microsoft Windows XP Professional. Currently, 15% (30 out of 204) are marked as Unpatched with the most severe being rated Highly critical Citat: Secunia has issued a total of 41 Secunia advisories in 2003-2008 for FreeBSD 6.x. Currently, 10% (4 out of 41) are marked as Unpatched with the most severe being rated Less critical Citat:
Secunia has issued a total of 230 Secunia advisories in 2003-2008 for Debian GNU/Linux 4.0. Currently, 0% (0 out of 230) are marked as Unpatched.
Citat: Secunia has issued a total of 117 Secunia advisories in 2003-2008 for Red Hat Enterprise Linux (v. 5 server). Currently, 0% (0 out of 117) are marked as Unpatched.
Dakle, Linux sistemi najažurnije izbacuju zakrpe.
@BrokeBody: windows_zakon je pomenuo beryl, a ne compiz
PPS. A da, posle je pomenuo i njega...
[Ovu poruku je menjao Marko_R dana 21.03.2008. u 23:05 GMT+1]
[Ovu poruku je menjao Marko_R dana 21.03.2008. u 23:17 GMT+1]
[Ovu poruku je menjao Marko_R dana 22.03.2008. u 01:28 GMT+1]
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|