Virusismeretet tekintve mindenkeppen a legjobb ot kozott van, de inkabb dobogo kozeli.
Azt nem tudom viszont, mennyire hasznalhato, mennyire stabil, milyen a tamogatasa, de szerintem ezen szempontokbol sem all rosszul.
u*x-ben letorolsz egy juzert, akkor a default "user letrehozas mellett a legtobb u*x rendszerben a kovetkezo uj juzer siman megkapja az elozo juzer uid-jet, mig w2k alatt egy mocsokos hosszu uid van, ami soha, de soha nem fog megismetlodni a rendszer eleteben"
Khmmm... melyik ux ? Mert amikkel en dolgoztam, ha lezuztam az 574-es usert akkor a kovetkezo user akit letrehoztam a 876-os lett - folyamatosan noveli, es nem keresgeli a lukakat.
Amit UTALOK a winfosban az a kilometeres UID.
Megfexik, ujratelepitem - adatok persze masik particion - ES NEM TUDOM MEGMONDANI, hogy az ujratelepitett lajoska ugyanaz, mint korabban es kezdhetem elolrol beallitani a k*szott jogosultsagokat - Linuxnal meg lajoska legyen az 578 es kesz. Illetve ha lezuzom az egesz rendszert, kiveve a jelszo fileokat, siman atveszi. Illetve stb stb stb LEHETOSEGEK ezerrel.
>Ja, megvalami, hogy ne legy annyira biztos benne, hogy nincs backdoor/konnyites pl. a
>kormanyszervek szamara az m$ vindoze cuccokban
Attol, hogy a nyilt forraskod hibaira is probalok ramutatni, hadd ne kelljen mindenben egyetertenem a Microsofttal.
Es ismetlem, nem vitatom, hogy a nyilt forraskod biztonsagosABB.
>Hmmm, nem hallottal a nimdarol, a code red-rol, a code red II-rol, a code blue-rol, etc. ?
De remlik valami. Ezek ugy tavaly ev vege fele voltak, igaz? Es az utobbi ket honap mirol szol? Fel kell tudni ismerni a tendenciakat.
>Ezert irhatnak nyugodtan worm-okat unixra, ezek csak a nem karbantartott gepeken okoznak gondot.
Szo szerint igaz ugyanez az altalad emlitett Code Red, Nimda, nomeg a Klez, Bugbear, ... eseteben. A kerdes csak az, hogy mennyi a nem karbantartott gep. Itt jon az, amit korabban mondtam: a Linux egyre jobban elterjed, es ezzel parhuzamosan no a nem karbantartott gepek szama is. Aki a Windowst nem tartotta karban, az a Linuxot sem fogja.
>Vagy lattal mar hotfix-et m$ ofiszhoz, ami megakadalyozza, hogy egy bakit ki tudjon
>hasznalni egy virus?
Igy kapasbol a nagyobbak kozul csak a Word 7.0a patch, a Word 97 upconversion fix, az Office 97 SR1, az Office 2K SP2 es az Office XP automation block jut eszembe. Ezek kiadasokkor meggatoltak az akkor ismert makrovirusok ugy 90-99%-anak a mukodeset.
>Mi a helyzet unix-on? Jon a patch a gyartotol, frissites es kesz.
Biztos, hogy teljesen kepben vagy? Kihagytad azt a lepest, hogy a felhasznaloknak fel kell telepiteni a patch-et. Ez az, ami nem fog megtortenni az atlag felhasznaloknal. nagy valoszinuseggel meg meg sem fogjak tudni, hogy kijott egy patch.
A Windows vilagban is kojonnek a patch-ek. Pl. a Code Red eseteben a virus elterjedese elott egy honappal, a Nimda eseteben fel evvel, a Klez eseteben egy evvel. Ettol meg a javitasok nem kerultek fel a gepekre. En ugy gondolom, hogy az atlag Windows felhasznalo ugyanolyan ember, mint az atlag Linux felhasznalo, ezert ott is ugyanazt varom.
Ja, megvalami, hogy ne legy annyira biztos benne, hogy nincs backdoor/konnyites pl. a kormanyszervek szamara az m$ vindoze cuccokban :-))
Nem is olyan regen volt egy kellemes hir az ie titkosito kulcshosszarol. Szidtak is erte, hogy miert csak 40-bit. Aztan lett 128-bites az is.
Mikozben a netscape-hez volt egy free crypto patch, ami felokositotta a non-us netscape-et is 128-bitre.
Aztan jott a hir (igazad van, nem jartam magam utana, hogy igaz-e), hogy az ie 128-bites kulcsanak ~ fele letetben van az nsa-nal, igy valojaban csak cca. 56-bites kulccsal tud dolgozni az ie.
Szar ugy nem?
Marpedig egy ilyen malor nem maradhat sokaig rejtve nyilt szoftvernel, es talald ki hanyan hasznanak utana tovabb.
m$-rol mar sok malor napvilagra kerult, es talald ki hanyan hasznaljak azota is tovabb.
Es miert? Mert m$ kinevelte a hulye felhasznalok tomeget. De tudod mi a legveszelyesebb? Ha ezek az emberek unix ele kerulnek. Es csodalkoznak, hogy a gepeiket sorra torik meg. Magam is lattam mar tobb olyan gepet, hogy a gazdaja igy szolt: 'ezt megtorni? csak annyit mondok, hogy ezen mandrake fut' :-)
Viszont az, hogy nem az IIS-re ugrottak ra a virusirok,
Hmmm, nem hallottal a nimdarol, a code red-rol, a code red II-rol, a code blue-rol, etc. ?
Vagyis a kozeljovoben tobb Linux/Unix worm/virus/backdoor varhato.
Meglehet, de egy stabil demonon nem jon be worm.
Tovabbra sem arra a kerdesre valaszoltal, hogyan allapitod meg, hogy a forras nem tartalmaz trojait/backdoort.
En szemely szerint hobby C-programozokent definialom C tudasom. Egy kisebb kalieru progit (talan) at tudnek nezni magam, de bevallom, nekem az openssh nagy falat.
Viszont megbizom az openbsd csapatban (ok irjak az openssh-t), akik nem egy penzorientalt kapitalista csapat, plusz sokat nyom a latban felhasznalok sokasaga, akik trojai atrocitasok nelkul hasznaljak az openssh-t, tovabba figyelem a sec. listakat kulonosen odafigyelve azokra a bug-okra, stb-kre, amik az altalam is hasznalt programokkal kapcsolatosak.
Ezeken a listakon mar vannak olyan emberek, akiknek idejuk, energiajuk es hozzaertesuk is van arra, hogy atnezzek az openssh forrasat.
Nekem ezek megfelelo biztonsagerzetet adnak, hogy az openbsd-sek nem tesznek bele backdoor-t az openssh-ba.
Szerinted meg lehet ilyet tenni a m$ termekekkel?
Az openbsd hirnevenek sokat artana, ha nyilvnossagra kerulne, hogy xy kormany megbizasabol backdoor-t tettek bele. Marpedig a nyilt forras miatt tuti kiderulne.
Szerinted erdekli a m$-t a jo hirnev? Vagy inkabb csak a suska? Es ha van benne backdoor, akkor mikor derul ki?
Nem tudom, erted-e, amit irok?
Csak hat nem ez a feladat, hanem ugy tulcsorditani a buffert
A valosagban egy sima DoS boven eleg. Az ugyfelek szamara tok mindegy, hogy miert nem tudja feladni a rendeleset, hogy miert nem eri el a 80-as portot. Ot nem erdekli, hogy a web demonja mindig kihal a dos miatt, vagy a tamado overflow-val bejott a gepre egy feltelepitett hatso ajton.
Ez mar csak reszletkerdes, mindketto alkalmas az uzlet megakasztasara.
Amire meg ra szeretnek mutatni, hogy unix ala irt progik inkabb stabilabbak, mint a vindoze ala irtak, magarol az OS-rol nem is beszelve.
Ezert irhatnak nyugodtan worm-okat unixra, ezek csak a nem karbantartott gepeken okoznak gondot.
Ez igaz lehet vindozera is, csak hat az a franya tco.
Persze egy av-termeket gyarto ceg szamara fonyeremeny egy ilyen worm/virus/bekdor/akarmi.
Csakhogy mi az atlagprocedura a 2 vilagban? Jon egy virus m$ ofiszra, masnap kesz a frissitett antivirus dat file, le lehet tolteni, aztan mar csak futtatni kell. Vagy lattal mar hotfix-et m$ ofiszhoz, ami megakadalyozza, hogy egy bakit ki tudjon hasznalni egy virus?
Mi a helyzet unix-on? Jon a patch a gyartotol, frissites es kesz.
Eppen ezert, szigoruan imho, nem allja meg a helyet az, hogy a jovoben majd joval tobb lesz a virus unix-ra. Tobb lesz az biztos, de akkor sem leszunk egyfajta virusevolucionak tanui, mint dos/vindoze-n.
Kb. ugyanannyi, mint Apache-ra. Viszont az, hogy nem az IIS-re ugrottak ra a virusirok, hanem az Apache-ra, azt mutatja, hogy uj kihivasok fele mozdulnak, es ez a Linux vilag. Vagyis a kozeljovoben tobb Linux/Unix worm/virus/backdoor varhato.
>Imho ez pont eleg ahhoz, hogy a dolgozo meg tudja allapitani, hogy ez a tar.gz ugyanaz-e,
>amit a fejleszto osszeallitott.
Tovabbra sem arra a kerdesre valaszoltal, hogyan allapitod meg, hogy a forras nem tartalmaz trojait/backdoort. Ha elhiszed, hogy a program iroja nem tett bele, akkor igy ellenorizheted, hogy mas nem tette ugyanezt. De tovabbra is elhiszed, hogy a program iroja eleve nem tett bele. Ezzel az erovel Bill Gates-nek is el lehet hinni, hogy nincs backdoor a Windowsban.
>A forras mindket esetben megvan :-) A fejlesztoknel.
Ugy tudom, hogy az IIS wormokat nem az IIS fejlesztoi irtak, aminthogy az Apache wormokat sem az Apache fejlesztoi. A keznel levo forraskod sokat segit.
>Ha pl. annyit kell tenni, hogy elkuldeni sok 'A'-t a demonnak, hogy lefagyjon, kihaljon, igy
>okozva DoS-t,
Csak hat nem ez a feladat, hanem ugy tulcsorditani a buffert, hogy az (esetleg tobb indirekcioval) az altalad vegrehajtani szant kodra adja at a vezerlest.
Aztán ott vannak a különböző kernelbe épített hálózati szűrő és naplózóprogramok. De ha valakinek ez sem elég, akkor módosíthatja akár a kernelt is, ha valami különleges biztonsági módot akar beépíteni.
Linux alatt mondjuk ott az strace. A rendszerhívásokból rögtön kiderül, hogy a program huncutkodni akar-e? Igaz ezt binárisra lehet alkalmazni, de szvsz nem lenne nehéz olyan programot írni amelyik a forrásban megkeresi a kritikus rendszerhívásokat (lehet, hogy van is), aztán már közelebbről szemügyre lehet venni a kérdéses programrész kódját. Elég nagy előny ez azt hiszem.
el kellene felejteni ervkent, hogy azert jo a nyilt forras, mert valaki ugyis veszi a faradsagot, es atnezi. A lehetoseg ott van, de meg senki nem irt ide, aki megtette volna.
Ott vannak a hekkerek, akik sorrol-sorra bizony atnezik, es van kozottuk jopar, aki nem artani akar, hanem publikalja a bug-ot (=felhivja a kozvelemeny figyelmet). Hogy ide eppen nem jarnak hekkerek, vagy xy nem profi C-ben ezert hiaba is nezne bele pl. az openssh forrasaba, az reszletkerdes. Jol irta lentebb valaki, hogy kozossegben gondolkodj (amit a net tett lehetove), ne pedig xy kezdo adminban.
Mellesleg az elmult 6 honapban emlekeim szerint egyetlen uj IIS worm sem bukkant fel.
Es sec. bug ? :-))
a forras ismereteben, vagy anelkul konnyebb-e portolni, nem reagaltal.
A forras mindket esetben megvan :-) A fejlesztoknel.
Ha egy expoloit portolasarol van szo, imho akkor is mindegy, ha tudom, hogy mi a hiba.
Ha pl. annyit kell tenni, hogy elkuldeni sok 'A'-t a demonnak, hogy lefagyjon, kihaljon, igy okozva DoS-t, akkor azt eleg konnyen portolom neked barmilyen platformra, ahol van ansi c, vagy perl.
miert mas, ha ujra tudja fordtitani magat gepenkent egy worm. Probald megerteni.
Ertem en, hogyne ertenem, de te azt ertsd meg, hogy egy stabil demont (app-t) nem lehet ugy atverni, hogy leforditson neked egy worm-ot/virust.
Ez nem virusfelismeres, hanem integritasellenorzes.
Imho ez pont eleg ahhoz, hogy a dolgozo meg tudja allapitani, hogy ez a tar.gz ugyanaz-e, amit a fejleszto osszeallitott. Erre pont jo az md5sum/pgp. Ok, ezek sem 100%-sak.
hogyan ismered fel, hogy a forditas alapjat kepezo forrasba nincs beepitve trojai/backdoor.
>Én valahogy valószínűbbnek tartom, hogy a nálad fútó vindózban van egy-két backdoor, minthogy az
>én linuxomban
Vagyis te sem ellenorizted.
>Te hogyan ismered fel, hogy a Microsoft nem pakolta tele backdoorral a windows-t?
Mint emlitettem, Windows binarisok feldolgozasaban van gyakorlatunk, ha azokat kell ellenorizni, tudom, hogy kezdjek hozza. Ezert kerdeztel, tudasvagytol vezerelve, hogy Linux forraskod eseteben milyen modszereket alkalmaztok ugyanerre. Ezek utan mindenki nekem esett, viszont az is kiderult, hogy az eddig engem kritizalok kozul meg senki nem nezte at a forraskodot, modszerei sincsenek ra.
>El kéne már felejteni azt az érvet, hogy "úccse nézel bele a forrásba, akkor meg mi értelme, hogy
>nyílt"!
Erveltem en ezzel? Nem. Viszont azt is el kellene felejteni ervkent, hogy azert jo a nyilt forras, mert valaki ugyis veszi a faradsagot, es atnezi. A lehetoseg ott van, de meg senki nem irt ide, aki megtette volna.
Nem vedem en a zart forrast, ha valaki, entisztaban vagyok hatranyaival. Viruskereso fejlesztesen dolgozva joparszor kellett nehez uton viszafejteni olyan dolgokat, amiket a forras ismeretben konnyen megfejthettunk volna.
Csak a szemellenzot probalom kicsit felemelni: a nyilt forraskod sem az a tejjel-mezzel folyo Kanaan, nyilvanvalo elonyei mellett eleg sok hatranya van. Meg biztonsagi szempontbol is.
Mellesleg az elmult 6 honapban emlekeim szerint egyetlen uj IIS worm sem bukkant fel. Sõt, az utóbbi 10 percben egyikre sem ...
Ezert lehet pl. egy viruskeresot honapok alatt atvinni egyik Windows platformrol a masikra, es egy ev alatt Windowsrol Linuxra. Ez azért attól is függ mennyire volt lamer ez illetõ aki az eredeti kódot írta. Én már találkoztam olyan C++-os kóddal ami tele volt win32-es hívásokkal pedig semmi mást nem csinált csak egy egyszerû útvonalkeresést egy gráfban. Ezt kellett portolnom linuxra, végül az egészet úgy ahogy van kidobtam és megírtam a kódot az elejétõl a végéig, úgy hogy csak az általa használt adatstruktúra maradt meg (pontosabban az õ struktúráját olvasta ki a fáljból az én objektumaimba). A végeredmény kb 1/3 hosszúságú kód ami amellett hogy hordozható még hatékonyabb, rugalmasabb, áttekinthetõbb is volt...
Egyébként ma már ott a Kylix/Delphi6/C++ Builder amivel elég jól hordozható dolgokat lehet csinálni, gyakorlatilag 0 portolási idõvel. Bár találkoztam már olyan céggel akik Delphi-ben programoztak ügyviteli szoftvert, és az volt az irányelvük hogy lehetõleg mindenhová win32-es hívásokat kell hasznáni, még egy fájl törlésére vagy más olyan feladatra is amit egyébként a delphi is lekezel a saját objektumaival / függvényeivel mert az a hatékony és windows-barát megoldás...
hogy hogyan ismered fel, hogy a forditas alapjat kepezo forrasba nincs beepitve trojai/backdoor. Persze lehet hinni abban, hogy az open source miatt ilyen nem kerul be, de a biztonsag nem lehet hitkerdes. Te hogyan ismered fel, hogy a Microsoft nem pakolta tele backdoorral a windows-t? Hiszel BG-nek? Vagy az összes zárt forrású program gyártójának? Ha nem, akkor miért használod, ha igen, akkor: "biztonsag nem lehet hitkerdes" :-)
Én valahogy valószínűbbnek tartom, hogy a nálad fútó vindózban van egy-két backdoor, minthogy az én linuxomban, de ez azért lehet, mert én ilyen szűklátókörű linuxos vagyok :-)
OS esetén valamivel nagyobb az esélyed, hogy megtaláld, a backdoor, buffer overflow-t, stb nem?
Ha egyszer könnyebb megtalálni a nyílt kódban a hibát, az azt jelenti, hogy hamarabb kerül nyilvánosságra, kevesebb ideje marad a nehézfiúknak kihasználni egy nem publikus hibát.
El kéne már felejteni azt az érvet, hogy "úccse nézel bele a forrásba, akkor meg mi értelme, hogy nyílt"! Egyrészt miért ne néznék bele, másrészt ne egyénekben gondolkodj, hanem közösségben ill. szervezetekben. Ha valaki NAGYON biztos akar lenni a dolgában, fogja az adott OS szoftver kódját, és átnézi. Ha nagyon biztos akar lenni a dolgában, nem bízik meg billyboyban.
>de ha mar az apache-ot herotozod, arul mar el, hogy nyilt forrasa ellenere hany sec.bug-ot/worm-
>t ismersz apache-ra es mennyit iis-re
Nem herotozom az apache-ot, de nem is tomjenezem. Mellesleg az elmult 6 honapban emlekeim szerint egyetlen uj IIS worm sem bukkant fel.
>Valojaban sokkal nehezebb portolni unix-ra valamit.
Biztos igazad van. Ezert lehet pl. egy viruskeresot honapok alatt atvinni egyik Windows platformrol a masikra, es egy ev alatt Windowsrol Linuxra. Bar az eredeti flevetesre, miszerint a forras ismereteben, vagy anelkul konnyebb-e portolni, nem reagaltal.
>Vindozen nem jellemzo a fordito, de valahogy nem kevesebb a worm, virus
Mondtam en, hogy kevesebb Windowson a worm? Azt probaltam megertetni, miert mas, ha ujra tudja fordtitani magat gepenkent egy worm. Probald megerteni.
>>Forraskod eseteben milyen modszereket alkalmaztok az esetleges backdoorok/trojaiak
>>felderitesere? Hat a virusokera?
>md5sum/pgp
Ez nem virusfelismeres, hanem integritasellenorzes. Es termeszetesen nem valaszolt arra a kerdesemre, hogy hogyan ismered fel, hogy a forditas alapjat kepezo forrasba nincs beepitve trojai/backdoor. Persze lehet hinni abban, hogy az open source miatt ilyen nem kerul be, de a biztonsag nem lehet hitkerdes.
En a unix es az opensource melle teszem le a voksomat, nem tagadva azt, hogy egy atlag vindoze is lehet bizonyos celra biztonsagos.
nagyon egyszeru backdoort beforditani egy alkalmazasba, ugy, hogy az mukodokepes maradjon. Lasd: OpenSSH
md5sum/pgp es maris nehezebb a rosszfiuk dolga.
Ugyancsak a forras rendelkezesre allasa miatt konnyu portolni a kulonbozo Linux/Unix valtozatok kozott ugyanazt a kartveot.
Hol fut a vindoze? x86-on. Hol fut a unix? x86, sparc, powerpc, meg mittumonen mik vannak meg. De ha megnezel pl. egy overflow shellcodeot linux-ra, meg freebsd-re, meg azok sem hasonlitanak. Talan nem veletlenul. Valojaban sokkal nehezebb portolni unix-ra valamit.
Emiatt a szamitogepek jelentos reszen van C fordito.
Ez baj? Vindozen nem jellemzo a fordito, de valahogy nem kevesebb a worm, virus.
Azt azert sietve megjegyzem, hogy par sec-howto javasolja, hogy ne legyen a gepen C fordito.
Emiatt elterjedt az a modszer, hogy a worm forraskodban terjed, es a megfertozott gepen forditja ujra magat.
Erre van 1 egyszeru workaround: chmod. De a korrekt megoldas, ha befoltozza az ember a bug-os progit. Es akkor nincs eselye a worm-nak.
A forraskod ismereteben valoban konnyebb megtalalni a hibakat, csak sajnos ez a virus/backdoor irok dolgat is ugyanilyen mertekben megkonnyiti, ok is konnyebben boldogulnak.
Gondolom, hallottal mar a bolgar Guninski-rol. O vindoze-ra szinte hetente hozza ki a bug-okat, pedig nincs neki forraskodja sehol.
De ha mar az apache-ot herotozod, aruld mar el, hogy nyilt forrasa ellenere hany sec.bug-ot/worm-ot ismersz apache-ra es mennyit iis-re tetszoleges 6-12 honapos periodust tekintve.
De ez csak addig igaz, amig a virus/backdoor irok figyelme at nem csoportosul a Linux fele, akkor tomegevel jelennek meg majd az uj kartevok.
Egy karbantartott gepen nincs eselyuk. Bar ez igaz a vindoze-ra is, csak nem mindegy, hogy egy fix 2 oran belul (mert volt mar ilyen is az opensource vilagban), vagy 2 het mulva jon ki.
Biztonsagos a nyilt forras? Egyertelmuen nem. Es ha ezt nem ismerjuk fel, akkor nagyon kellemetlen meglepetesekben lesz reszunk a kozeljovoben.
Ez nem kerdes. Az opensource sem ad 100% garanciat, ilyet senki sem mondott. De az mar inkabb megnyugtat, hogy nem egy penzehes kapitalista cegre kell hagyatkoznom, hanem lelkes fejlesztok sokasagara szerteszet a neten.
Meg 1 apro kulonbseg a vindoze es a unix vilag kozott: a kliens progik klasszissal jobbak security szempontbol, mint a m$ termekek, eleg csak osszevetni pl. a mozillat az ie/oe-vel.
Forraskod eseteben milyen modszereket alkalmaztok az esetleges backdoorok/trojaiak felderitesere? Hat a virusokera?
md5sum/pgp
Amit little474 (27) leirt, az pedig szomoru, de igaz.
Ket eset lehetseges: vagy sokan futtatnak root-kent programokat, vagy kellokeppen sok felhasznalonak vannak sajat jogosultsagu futtathato allomanyai a home konyvtaraban.
Az, hogy milyen az idealis *x rendszer, azt en is tudom. Ahogy a titkarnok iranyaba migralodik a Linux, egyre kevesebb ilyent fogsz talalni.
A filefertőző vírusok hogyan tudnak bármilyen futtathatót megfertőzni egy *x rendszeren, ha nem root-ként futtatod a vírust? Ugye egy normális *x rendszeren futtathatót csak a root telepíthet fel(publikus helyre, a saját szemétdombján mindenki azt csinál, amit akar, de az a rendszer működésére nem lehet befolyással), és ezeket a futtatható állományokat írásra senki sem nyithatja meg (maximum a root).
>nem olyan nehéz megcsinálni winen, hogy egy PE állomány kódszegmenséhez hozzátegyél egy kis kódot
Nem kulonosebben nehez, kb. 7 eve csinaljak ezt a virusok. Vagyis kb. azota, hogy az elso PE EXE-t hasznalo operacios rendszer megjelent.
De ugyanilyen konnyu ezt a valtoztatast ELF EXE-nel is megcsinalni.
>Vírusok linuxra nincsenek. Egyre-másra jönnek a hírek róla, de csak nem találkoztam eddig eggyel
>sem.
Konyorgom, honnan jon ez az elkepzeles, hogy egy virusnak rootkent kell futnia? Ha az elmult 5 ev legelterjedtebb viruait nezzuk (makrovirusok, script virusok, e-mail virusok), egyiknek sincs szuksege root jogosultsagra.
Attol pedig, hogy te meg nem hallottal Linux virusokrol, esetleg masok, akik virusokkal foglalkoznak, meg megtehettek. Nekem nem mszaly hinned, de megnezhetned a Wildlistat (http://www.wildlist.org/WildList/200209.htm), ahol tobb elismert ceg kepviseloje jelentett fertozest Linux fajlvirusrol OSF.8759. Ha mar mindenaron ragaszkodni akarsz ahhoz az elkepzeleshez, hogy csak a fajlfertozo virusokat nevezzuk virusoknak.
A vírus/backdoor írók figyelme pedig akkor fog átcsoportosulni a linux felé, amikor lenyomja a picipuhát. Ez akkor fog megvalósulni, amikortól több opensource unixot fognak használni a világon, mint wint. Szerintem a váltás úgy 2007 körül esedékes. Ha mégsem nyomja le, akkor viszont a vírus/backdoor írók figyelme sem fog a jelenleginél számottev?en jobban a linuxra (opensourcera) irányulni.
Amúgy gondolom nem olyan nehéz megcsinálni winen, hogy egy PE állomány kódszegmenséhez hozzátegyél egy kis kódot, valamint átírd a file belépési pontján az utasítást egy jumpra?
Általában van egy md5 check a telepítend? csomagokban. Szóval módosított csomag nem települne fel. Elvileg persze elképzelhet?, hogy a fejleszt? gépét törik fel, vagy a fejleszt? maga tesz backdoort a progijaiba, ez ellen nincs védelem (winen sem, s?t ott még ennél is kevésbé mivel nincs forrás). Amúgy ilyen esetre kb 3-ra emlékszem az elmúlt sz?k évtizedb?l.
Vírusok linuxra nincsenek. Egyre-másra jönnek a hírek róla, de csak nem találkoztam eddig eggyel sem. Elvileg meg lehetne írni ?ket linuxra is, de nem tudnának terjedni. Mivelhogy rootként futtatott dolgok 99.9%-ban csak a disztribb?l jönnek, arra pedig ld. el?z? bekezdés. Ha júzerként kerül felvalahogyan, akár shellaccounttal, akár valami démon meghekkel?désével, akkor pedig nem tud roottá válni (ugyebár normális unixon egyik démon se root, vagy ha mégis, akkor közvetlen auth után setuid()ol, setgid()el).
Aminek van realitása, azok a wormok. Err?l is voltak hírek, sebezhet? apache volt a cégünknél, de nem kapott amíg nem frissítettük. Szerintem egyébként a most kijövöget? apache2ben lesz még egy pár szép lyukacska, no az azt kihasználó wormoknak lehet még esélye a jöv?ben.
>- Nem tudnak a programunkban egyszerűen biztonsági hibákat keresni,
Ketsegtelen, a nyilt forraskodban ott a lehetoseg, hogy ellenorizzek a programokat.
Kerdesem viszont az, hogy hanyan elnek ezzel valojaban?
Szoval van a topikolvasok kozott olyan, aki egy Linux disztribucio vagy alkalmazas feltelepitese elott annak teljes forraskodjat vegigellenorzi, van-e benne virus/backdoor/trojai? Ha van, akkor milyen eszkozt hasznal erre?
Munkambol adodoan hetente 5-10 Windows backdoort dolgozok fel, erre megvannak a bejaratott eszkozok. Forraskod eseteben milyen modszereket alkalmaztok az esetleges backdoorok/trojaiak felderitesere? Hat a virusokera?
Eleg jo osszefoglalas, bar kisse egyoldalu. Nezzuk akkor, mik a hatranyai a nyilt forraskodnak.
Mivel az operacios rendszer es az alkalmazasok forrasa rendelkezesre all, nagyon egyszeru backdoort beforditani egy alkalmazasba, ugy, hogy az mukodokepes maradjon. Lasd: OpenSSH
Ugyancsak a forras rendelkezesre allasa miatt konnyu portolni a kulonbozo Linux/Unix valtozatok kozott ugyanazt a kartveot. Lasd: Slapper.A-D.
A nyilt forras miatt elterjedt a programok es a kernel forditgatasa. Emiatt a szamitogepek jelentos reszen van C fordito. Ebbol a szempontbol a Linux/Unix vilag sokkal monolitikusabb a Windows-nal, egy Linuxos gepen nagy esellyel megtalalhato a gcc, mig Windows eseteben meg ha van C fordito, az is tobbfele lehet. Emiatt elterjedt az a modszer, hogy a worm forraskodban terjed, es a megfertozott gepen forditja ujra magat. Ez a virusvedelemnek kulon gondot okoz, mert operacios rendszertol es C-fordito verzitotol fuggoen mas es binaris ELF allomany keletkezik a gepen, megnehezitve a felismerest. Windows eseteben ugyanabban a PE allomanyban terjednek a wormok, mert minden Win32 rendszeren le tudnak futni.
A forraskod ismereteben valoban konnyebb megtalalni a hibakat, csak sajnos ez a virus/backdoor irok dolgat is ugyanilyen mertekben megkonnyiti, ok is konnyebben boldogulnak.
Szoval, hogy a topik kerdesere valaszoljak: biztonsagosabb a nyilt forras? Jelen pillanatban meg igen. De ez csak addig igaz, amig a virus/backdoor irok figyelme at nem csoportosul a Linux fele, akkor tomegevel jelennek meg majd az uj kartevok. Jelenleg az a helyzet, hogy ha megjelenik ez Internet Explorer exploit, akkor rovid idon belul tucatnyi virus szuletik, ami ezt kihasznalja. Ha egy Apache exploit jelenik meg, akkor legfejlebb egy-ketto. De ez az arany valtozni fog. Amellett, ahogy a Linux hasznalata elkezd terjedni, egy-egy uj kartevo lenyegesen szelesebb korben el tud majd terjedni, nagyobb lesz a visszhangja. Ez a ket tenyezo oda vezethet, hogy kb. ket-harom ev mulva mar nem biztos, hogy ugyanezt lehet valaszolni erre a kerdesre.
De kerdezhetnenk maskent is. Biztonsagos a nyilt forras? Egyertelmuen nem. Es ha ezt nem ismerjuk fel, akkor nagyon kellemetlen meglepetesekben lesz reszunk a kozeljovoben.
Na nézzük akkor mik zárt kód előnyei a nyitottal szemben:
- Ha véletlenül kitalálunk valami újat, akkor nehezebb dolga van a konkurrenciának.
- Mindenféle hátsó bejáratot építhetünk be a programunkba, amit nem tud a felhasználó és/vagy a hozzáértő egyszerűen kiszúrni.
- Ha lámerek vagyunk, akkor legalábbis a forráskódon nem bukunk le.
- Nem tudnak mások a forráskódunkon javítgatni, ezért időnként újra megvetethetjük a programunkat újabb, javított, még biztonságosabb reklámszlogenekkel.
- Ha valaki mégis ennek ellenére hibára bukkan, akkor addíg várhatunk a javítással amíg nekünk tetszik (értsd köv. verzió).
- Nem tudnak a programunkban egyszerűen biztonsági hibákat keresni, a crackerek meg úgysem hozzák ezeket nyilvánosságra.
- Hogy még biztosabbak legyünk a dolgunkban, a reverse engineeringet is hivatalból üldözzük, így a crackereken kívül jóformán senki nem is fogja csinálni.
