LINUX.ORG.RU

Линукс более безопасен


0

0

Продавец антивирусов компания Trend Micro утверждает, что открытое программное обеспечение является более безопасным по своей природе, чем закрытое частное, как Microsoft Windows. Trend утверждает, одна из причин того, что открытое программное обеспечение имеет меньше дыр в безопасности - это большое разнообразие Linux-дистрибутивов. "Большее количество людей контролирует исходный код, они могут реагировать немедленно на уязвимости".

Это заявление становится особенно актуальным в свете вчерашнего заявления (самобичевания?) Microsoft о том, что свыше 60% взломанных Windows-ПК, просканированных инструментом Microsoft Windows Malicious Software Removal Tool с января 2005 года по март 2006 года, содержали действующее вредоносное автоматическое ПО. Инструмент удалил по крайней мере одну версию ПО с дистанционным управлением примерно из 3,5 млн ПК при общем количестве зараженных машин в 5,7 млн. "Трояны... представляют значительную и ощутимую угрозу для пользователей Windows", - говорится в отчете Microsoft. За 15-месячный период, охватываемый отчетом, инструмент обнаружил 5,7 млн зараженных Windows-систем, удалив из них 16 млн копий (!!!) вредоносных программ: http://zdnet.ru/?ID=609023.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

"Вы все еще кипятите?!" ;)

GladAlex ★★★★★
() автор топика

Вообще это мысль для M$ - сканировать "the internet", искать взломанные форточки с установленными средствами удалённого доступа и через них закрывать уязвимости... ;-)

atrus ★★★★★
()

>... в свете вчерашнего заявления (самобичевания?) Microsoft о том, что свыше 60% взломанных Windows-ПК, ...

А вот в нашей суперновой Висте все проблемы решены, срочно всем апгрэйд делать! Бизнес, мать его.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Ага, там ни одна программа не запускается кроме офиса и цветкa на могиле вашего рабочего времени (ICQ). Так что можно не опасаться - вирусы тоже работать не будут. :-)))

DRuG
()
Ответ на: комментарий от atrus

>Вообще это мысль для M$ - сканировать "the internet", искать взломанные форточки с установленными средствами удалённого доступа и через них закрывать уязвимости

"закройте форточку! дует!!!"

anonymous
()
Ответ на: комментарий от DRuG

> кроме офиса и цветкa на могиле вашего рабочего времени (ICQ). Так что можно не опасаться - вирусы тоже работать не будут

будет, этого хватит (особенно в свете того, что аску превели на aim протокол и теперь по ней вири берают)

vadiml ★★★★★
()

Проблема в том, что линукс машин несоизмеримо меньше, и их ломать проще вручную, а не массовыми рассылками вирусом. Поэтому клоуны и радуются, что никому не нужны, и их никто не заражает.

anonymous
()
Ответ на: комментарий от thambs

Так а при чём тут сидение под рутом? Сдаётся мне, что и без этого возможности есть. К примеру, после установки Suse 10.1 зачем-то запущен демон sshd. Ведь очевидно, что тот, кто знает зачем этот демон нужен, с лёгкостью его запустит. А вот кто не знает, тот так и будет сидеть и ждать, когда же найдут очередную дыру в sshd. Или расшаривание по smb и nfs. Пользуются этим далеко не все, а запускается по-умолчанию.

Значит, если человек сидит и радуется модемному соединению: не скачивает обновления для системы, то получив по-почте троян, в котором есть модуль для взлома того же sshd, и запустив его, получает то же самое, что мы имеем на Windows.

Т.о. простых решений (типа всего лишь не сидеть под рутом) сложных проблем подчас не бывает.

anonymous
()
Ответ на: комментарий от anonymous

> то получив по-почте троян, в котором есть модуль для взлома того же sshd, и запустив его, получает то же самое, что мы имеем на Windows.

В отличие от Outlook'а запустить в Linux'е аттач к письму сложнее ровно настолько, чтоб исключить случайный запуск.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous

Да-да. Получил по почте троян, а в нём помимо аццкого скрипта ещё 200 килобайт кода, которые сначала нужно запустить, они конфигурнуться, самокомпилируются а потом определяют дистрибутив, нужные либы, версии предпологаемого для хака софта, запущены ли демоны...

Да-да. Точно. Ждём. Гораздо проще будет спросить чайника его рутовый пароль якобы для установки нового скринсейвера, всё дальше дело в шляпе.

anonymousI
()
Ответ на: комментарий от anonymousI

>Да-да. Получил по почте троян, а в нём помимо аццкого скрипта ещё 200 килобайт кода, которые сначала нужно запустить, они конфигурнуться, самокомпилируются а потом определяют дистрибутив, нужные либы, версии предпологаемого для хака софта, запущены ли демоны...

Попутно выкачивая из сети и инсталируя необходимые dev-пакеты.

anonymous
()
Ответ на: комментарий от DRuG

> Ага, там ни одна программа не запускается кроме офиса и цветкa на могиле вашего рабочего времени (ICQ). Так что можно не опасаться - вирусы тоже работать не будут. :-)))

Не боись, вирусы пишутся гораздо быстрее, чем фотошопы. И потом, сейчас Касперский с утроенной энергией за дело возьмётся.

anonymous
()
Ответ на: комментарий от anonymous

>К примеру, после установки Suse 10.1 зачем-то запущен демон sshd. Ведь очевидно, что тот, кто знает зачем этот демон нужен, с лёгкостью его запустит. А вот кто не знает, тот так и будет сидеть и ждать, когда же найдут очередную дыру в sshd. Или расшаривание по smb и nfs. Пользуются этим далеко не все, а запускается по-умолчанию.

Одно но: firewall по умолчанию включен.

suser
()
Ответ на: комментарий от anonymous

>Не боись, вирусы пишутся гораздо быстрее, чем фотошопы.

Интересно, а в исходниках вирусов есть проверки на переполнения буферов и т. д.? :-D

suser
()
Ответ на: комментарий от suser

> Интересно, а в исходниках вирусов есть проверки на переполнения буферов и т. д.? :-D

Есть, только не своих буферов, а чужих...

const86 ★★★★★
()

То, что Linux безопаснее винды всем известно, но это не показатель. В vanilla ядре до сих пор нет защиты от выполнения кода из переполненного стека. Или эта фича станет не нужна с приходом новых CPU от AMD и Intel?

anonymous
()
Ответ на: комментарий от suser

и что там прописано
-A INPUT --dport 22 -p tcp -m tcp -s 0.0.0.0/0 -j DROP ?

SteepZ
()
Ответ на: комментарий от anonymousI

"Гораздо проще будет спросить чайника его рутовый пароль якобы для установки нового скринсейвера, всё дальше дело в шляпе." - это тоже весьма перспективный вариант :-).

anonymous
()

чё то ядра каждый день для меня совсем не показатель безопасности, а наоборот.....

anonymous
()
Ответ на: комментарий от anonymous

А зачем спрашивать пароль? Подогнать ему супер пупер програмулю хоть в рпм пакете, хоть configure.... ;) а в нем в скрипте написать rm -rf /

anonymous
()
Ответ на: комментарий от anonymous

В Suse 10.1 тоже. Но вот блокирует ли он ssh я за разумное время понять не могу (и проверить к сожалению тоже). Вот iptables -L:

Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED input_ext all -- anywhere anywhere input_ext all -- anywhere anywhere LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' DROP all -- anywhere anywhere

Chain FORWARD (policy DROP) target prot opt source destination LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references) target prot opt source destination

Chain input_ext (2 references) target prot opt source destination DROP all -- anywhere anywhere PKTTYPE = broadcast ACCEPT icmp -- anywhere anywhere icmp source-quench ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW LOG all -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' DROP all -- anywhere anywhere PKTTYPE = multicast LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV ' DROP all -- anywhere anywhere

Chain reject_func (1 references) target prot opt source destination REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable

anonymous
()
Ответ на: комментарий от anonymous

Повтор (#iptables -L):

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
input_ext  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
target     prot opt source               destination

Chain input_ext (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
reject_func  tcp  --  anywhere             anywhere            tcp dpt:ident state NEW
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast
LOG        tcp  --  anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        icmp --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        udp  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP       all  --  anywhere             anywhere

Chain reject_func (1 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable

anonymous
()
Ответ на: комментарий от anonymous

До 90% проблем безопасности возникает по причинам административным, а не техническим ... в общем платите админам щедро и следите за их моральным обликом :-))))

r_asian ★☆☆
()
Ответ на: комментарий от r_asian

rm -rf ~/ не вирус. Это информационная бомба. Может прийти в аттаче, Йузер даже сможет это запустить. Но она никак не повредит соседний аккаунт, под которым работает другой человек во вторую смену. И уж тем более систему. rm -rf / в preinstallscripts в rpm приводит к более трагичным последствиям, но это опять таки не вирус! Распростряняться-то он не может! Значит пострадают от этого "вируса" 5 человек, которым Вася Пупкин -- хакир и крутой вирмейкер подсунет эту гадость. После чего будет бит по морде. Вирус -- это когда по CNN "Вирус заразил десятки миллионов машин по всему миру и продолжает распространяться! Антивирусные компании уже выпустили обновления, но ими почти невозможно воспользоваться поскольку инет перегружен. Ущерб компаний по всему миру уже превысил $10млрд. Люфтганза вынуждена отменить все свои рейсы. Банк Чейз приостановил обслуживание клиентов" Вот это -- ВИРУС. Но такого не будет. Во всяком случае в обозримом будущем. Потерять хомяк это конечно неприятно... Но люди деляться на 2 типа: тех кто делает бекап и тех кто БУДЕТ делать бекап.

anonymous
()
Ответ на: комментарий от anonymous

>>А зачем спрашивать пароль? Подогнать ему супер пупер програмулю хоть в рпм пакете, хоть configure.... ;) а в нем в скрипте написать rm -rf /

Предлагаю господам суперкулцхакерам попробовать запустить какой нить менее опасный скриптик присланный по почте. Автоматом. Потом придет понимание что проще а что нет.

anonymous
()

>открытое программное обеспечение является более безопасным по своей природе, чем закрытое частное

В целом согласен. Но есть исключения: phpbb например. Так что говорить, что ПО безопасно только потому что оно открытое, ИМХО не стоит.

p_kolya
()
Ответ на: комментарий от anonymous

> Но вот блокирует ли он ssh я за разумное время понять не могу

НЕТ, можешь еще показать /etc/sysconfig/iptables

SteepZ
()
Ответ на: комментарий от sdio

>А вот в нашей суперновой Висте все проблемы решены, срочно всем апгрэйд делать! Бизнес, мать его.

Естественно. Уже пару раз где-то проскакивало че-то типа "мы наконец-то выпустим систему, которая будет совершенно безопасной" =)

MYMUR ★★★★
()
Ответ на: комментарий от MiracleMan

>Совершенно верное утверждение.. ;-)

Совершенно верное заблуждение =)

MYMUR ★★★★
()
Ответ на: комментарий от thambs

>кто в лялюпсе под руутом сидит?

Ну дык он и сидит =) И думает что все так сидят =)

MYMUR ★★★★
()
Ответ на: комментарий от thambs

Есть такой наглядный пример массового виндового юзера ( в планах приход его на линукс, или зачем он тогда на десктопе ? :)

Где-то во Франции есть какой-то там инет оператор ( к слову интренет там называют, именем этого оператора ). Так вот по словам знакомого разрабатывающего какие-то там антивирусы и firewall, столкнулись с проблемой. Они массово ставят прогу, которая раздает все диски, как rw для всех. Попытка интерпретировать ее как троян,а также лечение или прикрытие ее портов нарвались на такой протест... ( а это не только гневные письма, а и возврат денег), что пришлось ее игнорировать.

Что-то внушить этим пользователям бесполезно, у многих проблема понять, что значит сходить по адресу, который указан в письме.

Так что надо радоваться, что не линукс, а виндовс ищет способы борьбы с этими гениями. Линуксу только остается брать лучшее.

При этом не стоит забывать, что безопастность никак не совместима с юзабилити.

nofate
()
Ответ на: комментарий от anonymous

> А зачем спрашивать пароль? Подогнать ему супер пупер програмулю хоть в рпм пакете, хоть configure.... ;)

А вы configure от рута запускаете?

yozhhh ★★★
()
Ответ на: комментарий от Deleted

гы, M$ должна написать собственный вирус, который будет не заражать, а лечить зараженные системы :) А то обидно, все юзают дырки в форточках, а виндозовцы нет...

feramon
()
Ответ на: комментарий от anonymous

>Пользуются этим далеко не все, а запускается по-умолчанию.

И по тому же умолчанию закрыто firewall.

r ★★★★★
()
Ответ на: комментарий от thambs

>ты идиот? кто в лялюпсе под руутом сидит?

Например некоторые анонизмусы :-) В масдае сидят под администратором. В линуксе под рутом. И по жизни деревянные :-)

DIMON ★★★
()
Ответ на: комментарий от MS

Не unix-way кодить юзерспейс на асме, плюс еще - зачем по новой переписывать стандартные функции? :)

Гм... плюс, кажется, для 80h нужно выполнение софтины в нулевом кольце => модуль ядра => для загрузки нужны права рута, если она вообще разрешена... слишком много "если" для вируса )

Gharik
()
Ответ на: комментарий от Gharik

Не, не нужно ничего :))). Работа в Unix через прерывание $80 на ассемблере столь же проста как и работа в ДОС через прерывание 21h... Только Линюс почему-то использовал соглашение о вызове fastсall для системных вызовов, а не передачу параметров через стек, как в System V и *BSD. Если бы не эта вольность Линюса, мы бы могли линюксовые бинарники, использующие только функции ядра пускать на System V и *BSD.

MS
()
Ответ на: комментарий от anonymous

>То, что Linux безопаснее винды всем известно, но это не показатель. В vanilla ядре до сих пор нет защиты от выполнения кода из переполненного стека. Или эта фича станет не нужна с приходом новых CPU от AMD и Intel?

Проблема переполнения стека возникла не из за процессоров. А из за наследия языка С.

Demimurych
()
Ответ на: комментарий от Gharik

По ссылке ( http://sql.ru/forum/actualthread.aspx?tid=278071&pg=2&hl=define#2539096 ) можно как раз мной написанную программу Hello World посмотреть на ассемблере.

Так вот вирус, написанный на ассемблере без использования сишных библиотек будет независим ни от чего и сможет работать на любой Unix-системе.

MS
()
Ответ на: комментарий от MS

> Так вот вирус, написанный на ассемблере без использования сишных библиотек будет независим ни от чего и сможет работать на любой Unix-системе.

Его разные instructions sets процессоров не смутят, нет?

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

Ну на любой i386 системе. Просто народ, как мне кажется, почему-то безосновательно уверен в том, что разнообразие версий и зависимостейсишного рантайма увеличивает защищённость системы. А это вовсе не так.

Много написал по простому вопросу, но я раньше тоже так ошибался.

MS
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.