Re: [ot] ranking syst. operacyjnych

Użytkownik "Przemysław Adam Śmiejek" napisał w wiadomości grup
dyskusyjnych:khchdd$7h6$1_at_news.task.gda.pl...
>
>W dniu 07.03.2013 21:12, Piotr B. (pb2004) pisze:
>> Użytkownik "Przemysław Adam Śmiejek" napisał w wiadomości grup
>> dyskusyjnych:khaqau$v21$1_at_news.task.gda.pl...
>>>
>>> W dniu 07.03.2013 13:17, Piotr B. (pb2004) pisze:
>>>> O potrzebie programu antywirusowego decyduje popularność systemu i
>>>> rozsądek użytkownika nie rodzaj systemu.
>>> I tak i nie. Bo również metoda dystrybucji oprogramowania, stosowane
>>> mechanizmy czy dziurawość systemu. Ważne są także zaszłości historyczne.
>> Co rozumiesz przez mechanizmy
>
>No wiem, że były kiedyś jakieś wirusy windziane, które wykorzystały jakieś
>Zdalne Wywoływanie Procedur itp. To jakoś tak z 10 lat temu nazad było.
>Nie jestem fachowcem, ale wiem, że ludzie psioczyli, że wystawienie
>Windowsa do Sieci nawet osiedlowej oznacza 100% złapania tego wirusa.
>

O. Dobry przykład na brak rozsądku użytkownika. Sasser i Blaster
wykorzystywały załatane luki w systemie. Zresztą to było 10 lat temu w
okresie XP łupanego. Vista i nowsze Windowsy to w porównaniu do XP niebo i
ziemia jeśli chodzi o bezpieczeństwo.

>No albo słynny mechanizm autorun z pendrajwa. Wystarczyło włożyć cudzego
>pendrajwa i się miało wirusa pendrajwowego jak w banku. Zwłaszcza przy
>opcji ,,windows wymusza pracę z admina'' (o niej niżej, więc na tym etapie
>się nie złość)
>

Od kilku lat także nieaktualny problem.

>Linuksy mają inną budowę i musi być naprawdę spora dziura, żeby
>skompromitować system.
>

Dokładnie jak pod Windowsem wystarczy jeden dziurawy plugin przeglądarki. Te
same luki są cross platformowo łatane w javie, flashu i przeglądarkach. W
kernelu Linuksa także nie brakuje luk privilege escalation choćby nie tak
dawno załatana[1]. Do tego dochodzi w dystrybucjach domyślna przeglądarka
www bez jakiegokolwiek sandboksa i większość pakietów zbudowana bez
oznaczenia jako position independent code. Więc do uzyskania praw
użytkownika przez malware wystarcza exploit na jedną lukę, który na
niejednej dystrybucji nie wymaga nawet omijania dep i aslr.

>Jakoś tych wirusów na linuksy wciąż brak, choć niektórzy prześcigają się w
>opowiadaniu jak to one są. Na MacOSa też chyba brak, choć w USA wcale taki
>niepopularny nie jest.
>

Ależ na OSX istnieje malware. Nawet program antymalware jest w OSX ootb.
Niedawno zresztą było włamanie poprzez OSX w Facebooku, Twitterze i
Microsofcie. W zeszłym roku także na OSX był botnet liczący 600k zombie. Na
jedyną popularną dystrybucję Linuksa czyli Androida także jest pełno
malware.

>>i dziurawość systemu?
>> Każdy system ma luki.
>
>Pytanie ile i gdzie i jak szybko łatane.
>

Java, Flash, Firefox są łatane w tym samym czasie na każdej platformie.

>
>> Metoda
>> dystrybucji oprogramowania i zaszłości historyczne cokolwiek rozumiesz
>> pod tymi enigmatycznymi pojęciami sprowadzają się do rozsądku
>> użytkownika.
>
>Nie, nie sprowadzają, zwłaszcza że mówimy o systemie na końcówki a nie dla
>Mastahaka admina. Owszem, sporo można wyjaśnić głupotą usera, ale ocena
>,,głupota'' jest najczęściej wynikiem zarozumialstwa jakiegoś
>przemądrzałego geeka.

Ja to nazywam brakiem rozsądku bo są ostrzeżenia.

>
>Przykład: Ja od 20 lat zajmuję się informatyką zawodowo. Fakt, że nie jakoś
>profesjonalnie na wysokim poziomie, ale i tak udało mi się złapać
>Fejsbukowego wirusa. Po prostu niektóre wredne strony są tak skonstruowane,
>żeby z użyciem mechanizmów przeglądarki wydawało się userowi, że klika w
>coś innego. Albo user klika w coś, bo to ma mu dać dostęp do jakiś treści,
>a przy okazji zezwala aplikacji FB na szaleństwa. Owszem, jak się ma pewne
>wyczucie, doświadczenie, to pewne rzeczy się czuje i podejrzewa o ataki.
>Ale czy na pewno każdy user ma się na tym znać?

Nie musi się znać. Wystarczy że posłucha ostrzeżeń systemu, a często także
programu antywirusowego, że uruchamia nieznany i potencjalnie niebezpieczny
plik. W Windows 8 aby uruchomić taki plik trzeba kliknać w odpowiednie
ostrzeżenia.

>
>Nie wiem, mój teść miał kompa z Windowsem 98. I co chwilę mnie wzywał do
>wirusów. Wkurzyłem się, zainstalowałem mu Kubuntu, potem Xubuntu, teraz ma
>Minta z Cinamonem i od 10 lat problemów z kompem nie ma. Fakt, chłop się
>zupełnie nie zna na komputerach i co z tego? Czy nadal mamy lata 80 i
>komputer jest dla geeków?
>

W 2005 roku miał komputer z W98 i działało na nim malware przeznaczone dla
XP? Weź jednak wymyślaj bajki mające więcej wspólnego z faktami.

>Tyle o userze i jego ,,braku'' rozsądku. Teraz co rozumiem przez....
>
>a) metoda dystrybucji oprogramowania:
>
>Koszmar paczek w linuksie to tragedia, porażka, debilizm od strony
>użytkowej i wygody. Klątwa której nienawidzę, która mnie nęka i którą
>chciałbym zabić. Ale z drugiej strony, z punktu widzenia IdiotenUsera opcja
>z Windowsa, gdzie trzeba wszystko pobierać z miliona stron i cholera znaj
>się tu na bezpieczeństwie takiej dystrybucji (patrz wyżej wywód o rozsądku
>userów)....
>
>Większość oprogramowania to OpenSource, do tego zazwyczaj przynajmniej
>pobieżnie przejrzany i spaczkowany do Oficjalnego lub PółOficjalnego repo.
>Więc dużo trudniej podrzucić jakiegoś konia.
>

W Ubuntu bardzo łatwo dodaje się dodatkowe repozytoria do systemu. I sądząc
po Google są one popularne.

>b) zaszłości historyczne: To na przykład wymuszanie pracy z admina. I nie
>mów, że tak nie jest, bo jest. Coraz mniej na szczęście, ale jest. To wina
>głównie twórców aplikacji, nie MSa, ale niestety jest jak jest.
>

Obecnie już nie jest. Pojedyncze źle napisane aplikacje pomijam.

>Jak sprawa wyglądała historycznie: Był sobie DOS i Windows na dosie przez
>20 lat i nie było tam żadnych zabezpieczeń. I nagle z Windowsem 2000, a w
>zasadzie XP weszły zabezpieczenia (tak, wiem, były wcześniej, ale udział w
>rynku Windows NT możemy pominąć). I nagle aplikacje sobie nie radziły.
>
>Więc Windows XP się domyślnie odpalał na koncie admina. Więc ludziom nie
>zależało na naciskaniu twórców aplikacji i koło się zamykało przez kolejne
>10 lat. Potem MS się wkurzył i wprowadził UACa, który miał być czymś, co
>przestawi usera na brak praw admina mniej drastycznie niż zwykłe konto.
>
>Niestety, UAC się nie spodobał userom. Nagle moc aplikacji mówiła
>,,spierdalaj'' albo przy każdej pierdółce pytała przez UAC-a Czy Na Pewno
>Wejść W Uprawnienia Admina, bo była źle napisana. Więc MS uległ jęczeniu,
>zmniejszył ostrość UACa. Generalnie kanał.
>

Dla thirdparty aplikacji nic nie zmniejszył.

>No i co biedny user ma zrobić, jak jego aplikacja nadal jest zdupczona, a
>do tego Mądry Helpdesk najeżdża na MS? Tak jest np. w przypadku Vulcana.
>Ich program Kadry-Płace nie łączy się z bazą na Sevenie. Dzwonimy do
>Vulcana i co radzi oficjalnie Infolinia (ćwiczone parę razy na różnych
>pracownikach)? Wejść do Panelu Sterowania i wyłączyć całkowicie UAC. No
>więc wyjaśniam infolince, że to coś nie tak z ich programem, jak wymaga
>praw admina. A ona na to, że się nie znam i że winny jest MS, bo bez tego
>ich program się nie połączy z bazą i koniec. Ja byłem na tyle sprytny, że
>ustawiłem ,,odpalaj jako admin'' tylko ten program (choć teraz dodatkowo
>trzeba kliknąć OK za każdym odpalaniem), ale założę się, że 99% klientów
>Vulcana w całej Polsce powyłącza UACa i już. Bo tak mówi producent softu.
>

To jest skutek trwania na cmentarzu XP. Gdyby od 2007 roku sukcesywnie
migrowano na Vistę i nowsze świadomość użytkowników byłaby obecnie wyższa i
wymagaliby prawidłowego działania programów a firma musiałaby je prawidłowo
pisać.

1. http://niebezpiecznik.pl/post/linux-kernel-exploit-od-3-3-do-3-8/

-- 
Piotr Borkowski