[толсто][лаб.касперского] Времена безопасности *nix-систем давно прошли

> (kde|gnome)-look.org - это проверенный или непроверенный источник?

зачем так специализироваться? *.sf.net целиком.

// wbr

>(kde|gnome)-look.org - это проверенный или непроверенный источник?

Для меня - недостаточно проверенный. Хотя пару тем качал. А что уже есть информация о заражении троянами с этих сайтов?

> Для меня - недостаточно проверенный. Хотя пару тем качал. А что уже есть информация о заражении троянами с этих сайтов?

зачем заражать то? это грубо. вполне достаточно оставить аккуратненький такой багу-бэкдор. шоб можно было пробить в случае необходимости. при возникновении претензий честно отвечать шо мол не стреляйте в пианиста он играет как умеет.

// wbr

> А что ментейнеры, тоже о "качестве программ" ничего не подозревают?

Некоторые программы имеют совсем неочевидные дыры в безопасности, и я думаю ментейнеры просто физически не смогут просмотреть (и вникнуть) в тысячи и десятки тысяч строк чужого кода. То, что исходник открыт, и его видят тысячи программистов, на самом деле мало что меняет, потому что мало кто заглядывает и _вникает_ в исходники.

>зачем заражать то? это грубо. вполне достаточно оставить аккуратненький такой багу-бэкдор. шоб можно было пробить в случае необходимости. при возникновении претензий честно отвечать шо мол не стреляйте в пианиста он играет как умеет.

Ну а о багах инфа есть? Пока мы, говорим о сферических конях в вакууме, хотелось бы на реальные примеры посмотреть, которые встетились в диких условаях, а не в лабораторных.

>Некоторые программы имеют совсем неочевидные дыры в безопасности, и я думаю ментейнеры просто физически не смогут просмотреть (и вникнуть) в тысячи и десятки тысяч строк чужого кода. То, что исходник открыт, и его видят тысячи программистов, на самом деле мало что меняет, потому что мало кто заглядывает и _вникает_ в исходники.

Понятно что программы имеют дыры, неважно закрытые они или открытые. Интересно то на практику посмотреть, нас же вирусы интересуют в основном не с теоретической точки зрения? Посмотреть например будут ли быстрее устраняться дыры, благодаря открытым исходникм, по сравнению с закрытым ПО. Как повлияет появление реальной опасности на разные вещи, касающиеся безопасности в Линукс. Появится ли например антивирус Кошмарского для Линукс или будут использоваться другие методы борьбы с вредоносным ПО. И т.д и т.п.

> Ну а о багах инфа есть? Пока мы, говорим о сферических конях в вакууме, хотелось бы на реальные примеры посмотреть, которые встетились в диких условаях, а не в лабораторных.

зайди в любую багзилу и поищи на предмет %core%. будет тебе инфы целый вагон с тележкой.

// wbr

>Но мне более интересны вирусы старой закалки. Как правило, писанные на ассемблере, они встраивались в код других программ и запускались до исполнения основного программного кода. Это как пример. Вот на такое у меня пока знаний не хватит.

Встраивание в код это очень просто, когда большая часть файлов com - определить размер файла, в начало всунуть переход на конец, записать туда свой код, и добавить возврат. Абсолютно ничего сложного - червяки и то сложнее писать. Да и в эльфах и прочих экзешниках тоже ничего сложного нет - заголовки то все известны и вполне документированы. Но сейчас операционки и антивирусы все умнее и умнее - не позволяют кому попало писать в исполняемые файлы всяческими UAC, да и на ассемблере в современном мире современное ПО писать ой как непросто

Я не очень понимаю смех линуксойдов - скрипт запакованый в архив с нужным атрибутом это очень просто, пользователь его даже запустит если получит по почте, заразить скрипты - очень просто, с бинарниками несколько сложнее из за различных вариантов сборки (но это довольно просто решаемо), но заражением бинарников, да и вобще вирусы - это редкость нынче. Возможностей по написанию червя или трояна - море - рутовый доступ ему не требуется, выдернуть адресные книжки, отправить почту, в приципе даже перехватить ввод пароля при использовании su/sudo/gksudo можно. Если для корректной работы червяку потребуется какая нибудь библиотека, он возьмет ее из репозитория дистрибутива, или с какого нибудь cpan

Объясните мне наконец, почему вы всетаки считаете, что операционная система linux в этом плане так сильно защищена?

> Объясните мне наконец, почему вы всетаки считаете, что операционная система linux в этом плане так сильно защищена?

а нах она кому сдалась?

// wbr

>Объясните мне наконец, почему вы всетаки считаете, что операционная система linux в этом плане так сильно защищена?

man mount | grep noexec
useradd -m firefox

Вопросы?

> man mount | grep noexec
> useradd -m firefox
> Вопросы?

и? тебе про одно - ты про другое. да самый первый банальный вопрос: у многих ли хом смонтирован а) на отдельной партиции б) с noexec?

// wbr

>да самый первый банальный вопрос

Самый первый банальный ответ - когда/если это станет важным, это будет в любом дистре по дефолту и черезжопуотключаемо. И по дефолту ФФ будет юзверя отдельного себе создавать. Вон, в Сусе уже аппармор по дефолту включен.

> Самый первый банальный ответ - когда/если это станет важным, это будет в любом дистре по дефолту и черезжопуотключаемо. И по дефолту ФФ будет юзверя отдельного себе создавать. Вон, в Сусе уже аппармор по дефолту включен.

"когда исправление ошибок и забота о безопасности станет совсем уж актуальной - мы о ней позаботимся". чудестно. так держать.

что до армора и selinux.. ну-ну. блажен, кто верует.

// wbr

> #!/bin/sh
>
> echo "Сейчас скрипт оптимизирует ваш реестр, для этого Вас попросят ввести пароль."
> sudo rm -f -R /*

Fixed:

#!/bin/sh

echo "Сейчас скрипт оптимизирует ваш реестр, для этого Вас попросят ввести пароль."
sudo rm -fr /* --no-preserve-root

> А что уже есть информация о заражении троянами с этих сайтов?

да было, емнип, на kde-look.. какие-то слухи ходили что туда троянов пихали... думаешь там кто делает полный аудит исходного кода который выкладывают?

>да было, емнип, на kde-look.. какие-то слухи ходили что туда троянов пихали... думаешь там кто делает полный аудит исходного кода который выкладывают?

Да слухов то много всяких. Еще рассказывают про своих знакомых, у которых знакомые знакомых вирусы под Линукс прям у себя на компе видели.

Есть интересный вопрос, почему если все так просто, то вирусов все-таки нет. Ладно бот-нет именно на Линукс делать, с точки зрения бизнеса, смысла нет, когда есть винда или мак и кучи злобно-буратинистых пользователей этих чудесных ОС. Но ведь раньше то были куча вирусов джаст фо фан, вернее даже, почти все вирусы были джаст фо фан, где же они в Линуксе? А то вот Кошмарский уже давно "предупреждает", некоторые местные аналитеги вот говорят, что типа никаких проблем, а вирусов все нет и нет...

> Есть интересный вопрос, почему если все так просто, то вирусов все-таки нет. Ладно бот-нет именно на Линукс делать, с точки зрения бизнеса, смысла нет, когда есть винда или мак и кучи злобно-буратинистых пользователей этих чудесных ОС. Но ведь раньше то были куча вирусов джаст фо фан, вернее даже, почти все вирусы были джаст фо фан, где же они в Линуксе? А то вот Кошмарский уже давно "предупреждает", некоторые местные аналитеги вот говорят, что типа никаких проблем, а вирусов все нет и нет...

технических проблем - нет. по крайней мере ни чуть не сложнее (но и не легче), чем под ту же XP. вопрос - зачем? фана - ноль. выгоды - ноль. тогда смысл?

// wbr

> то вирусов все-таки нет

есть они. их просто затачивают под специфический сервер и его окружение. и делают соотв. разово для разовой акции.

>есть они. их просто затачивают под специфический сервер и его окружение. и делают соотв. разово для разовой акции.

Тогда это трояны, руткиты или подобное так называемое вредоносное ПО. Основная родовая черта вирусов (на то и название) - это способность более или менее САМОСТОЯТЕЛЬНО распространяться. Если программа предназначена для одного сервера, то это что угодно но не вирус, т.к. программе предназначенной для одного сервера и разовой акции не нужна способность размножаться.

ну насчет "одного сервера" я наверное погорячился... может быть одного датацентра или группы серверов? заражаем вручную один сервак и оттуда сервячок расползается по другим.. причем червячок тупо заточенный под конкретные конфигурации и окружения серверов.
а чтобы вот так тупо расползался по интернетам - такое врядли возможно, слишком велик и разнообразен зоопарк дистрибутивов и версий софта даже в рамках одного дистра.

s)сервячок)червячок)

>Ладно бот-нет именно на Линукс делать, с точки зрения бизнеса, смысла нет, когда есть винда или мак и кучи злобно-буратинистых пользователей этих чудесных ОС.

Но как только некоторые особенно умные производители выпустили роутеры с торчащим наружу интерфейсом управления, бот-нет сразу же появился.... Может быть смысл есть, да возможностей раз-два да и обчёлся ;)

>Но как только некоторые особенно умные производители выпустили роутеры с торчащим наружу интерфейсом управления, бот-нет сразу же появился.... Может быть смысл есть, да возможностей раз-два да и обчёлся ;)

Ну вроде то был чисто показательный эксперимент. Использовать роутеры в качестве рассылателей спама например, подозреваю не очень удобно. Да и там проблема была скорее не в производителях, а пользователях, если ты оставляешь логин/пароль - admin/admin, то можно ожидать, что этим кто-нибудь воспользуется. Но это опять же все-таки не вирус.

>ну насчет "одного сервера" я наверное погорячился... может быть одного датацентра или группы серверов? заражаем вручную один сервак и оттуда сервячок расползается по другим.. причем червячок тупо заточенный под конкретные конфигурации и окружения серверов.
а чтобы вот так тупо расползался по интернетам - такое врядли возможно, слишком велик и разнообразен зоопарк дистрибутивов и версий софта даже в рамках одного дистра.

Вот интересно бы тогда на классического червяка посмотреть, сможет он широко распространиться в условиях разных дистров, версий и т.п. И как сообщество будет реагировать на более менее реальную угрозу.

ну если будет обнаружена уязвимость, скажем в tcp/ip стеке, позволяющая выполнить произвольный код на целевой системе, и про неё никто знать не будет некоторое время (т.е. не будет security update'а в репах), то вполне возможно и такое чтобы была "реальная угроза"...

> где же они в Линуксе?
А как узнать что они есть если антивирусов нет? Где-то проскакивала инфа о вредоносных программах размещенных на веб-серверах под линуксом и их соотношение в % по сравнению с IIS