Linux, безопасность, подумаем о будущем!

*Смотрит на аватар*
Мой мозг не взорвался, бвахахах!

>А ты согласен с автором, ЛОРовский параноик? ;)

Да, линупс дыряв.

Не читал, но по описанию - [:].

Дык. Так что 1% — это и лучше, кому мы нафиг нужны? %)

все правильно пишет.

соль статьи в том, что libflash - решето

M$ со SCO :}

Почитал, феерическая херня уровня старшеклассника.

Для начала зададим вопрос: каким образом вредоносное ПО запустится в общем случае? Без физического доступа — почти никак. Про noexec и еже с ним я даже не упоминаю.

bullshit!

В самом ядре куча механизмов защиты. Другое дело что дистростроители их не используют, чтобы не обременять жизнь среднестатистического пользователя.

хня. только проприетарные компоненты нужно выпилить (хз что в них).

>>О способах проникновения говорить смысла нет, вредный софт всё равно просочится на любую систему. И никакой антивирус не поможет.

После этих строк желание читать пропало.

А рега по ходу на один вечер сделана, чтобы не было стыдно на следующий после употребления в-в день...

Авик зачётный. Ник - Тони Лунатик... Что-то в начале 90х был какой-то сериал, с котором был этот герой. Напомни - я понастальгирую :)

>Что-то в начале 90х был какой-то сериал, с котором был этот герой.

Секрет тропиканки или Торпиканка или как-то так :) Моя маман на нем конкретно подвисала и даже пару дружбанов :) Тоньйо Лунатик - только из-за него и можно было смотреть это мыло :)

> Торпиканка

Точно! спс.

Тоньйо Лунатик - только из-за него и можно было смотреть это мыло :)

Мы тогда так попугая назвали...

>Без физического доступа — почти никак.

Почти или никак?

А что со скриптами в браузере? Например, многим сейчас насрать на фотки-кино или доки похеренные, но вот то, что могут увести парольчик через барузер от любимого вконтактика - это проблема.

>Здесь всё совсем грустно. Как правило для нанесения максимального вреда достаточно одной команды — rm -rf ~/

Решето

Опять? Что на этот раз, цунами или землетрясения?

>то, что могут увести парольчик через барузер от любимого вконтактика - это проблема.
Только через дырку самого вконтактика. Но и на этот случай в единственном вменяемом браузере есть NoScript.
Алсо, скажи как ты собираешься хакать браузер через JS, кулхацкер.

>tonyo_lunatic

lunatic

Покажись специалисту, лунатизм обычно симптом эпилепсии.

Хрень подзаборная.

>Но и на этот случай в единственном вменяемом браузере есть NoScript. Алсо, скажи как ты собираешься хакать браузер через JS, кулхацкер.

Я не собираюсь, но интересуюсь, есть ли такая возможность. Мне кажется, что из браузера можно много чего увести. Парольчики, логинчики... А это поценнее фоток «я и Вася бухие в гафно на пляже».

Под Windows ведь в современных антивирусах есть анализ скриптов браузера, да и NoScript не забавы ради придуман. Значит через скрипты физдится информация. Не? Значит, есть такая опасность и для Linux, не?

Я буду рад, если не :)

>есть ли такая возможность
Нет, естественно.

в современных антивирусах есть анализ скриптов браузера

Ололо. И что они там ищут? XSS и noscript блокировать умеет. А идея искать сигнатуры в js может прийти в голову только идиоту (впрочем, сигнатурный поиск зловредного кода ущербен по определению).

Значит через скрипты физдится информация. Не

Нет. Максимум — через XSS. Но это уже идиотизм программера/админа сайта.

Значит, есть такая опасность и для Linux, не?

Если админ вконтактика завтра выложит все пароли в открытый доступ, то естественно линукс на десктопе никак не защитит мой аккаунт. Правда, антивирусы тоже не помогут.
Сдаётся мне, что школьник, написавший бред по ссылке — ты.

>Сдаётся мне, что школьник, написавший бред по ссылке — ты.

Клянус Столлманом, что нет, да и не школьник уже, к сожалению (ах, эти беззаботные времена сопливой юности...). Иначе бы не спрашивл про такое :)

Просто действительно меня тревожит проблема с скриптовыми атаками. Если, допустим, трояна или вирус нужно руками запускать, да еще и пароль рута вводить, то уж скрипты, как мы неоднократно видели в Windows, могут дел наделать ой-ой-ой.

Короче, я опасность вижу только в скриптах.

Короче, я опасность вижу только в скриптах.

И пральна, у мня под жоперой пароль от уютного вконтактика украли когда-то.

>Короче, я опасность вижу только в скриптах.
Отлично, выключи их.

>однако до того момента, пока они не вызвали интерес у хакерской братии.


Вообще-то давно у ксакепов интерес линукс вызвал... И интерес этот пропал, ибо взломать не могут грамотно настроенную систему.

++ Много сайтов работают без них. Причём это ещё и быстрее. Хотя если посещать вконтакты, одноклассники, хабры, там, всякие, то тут вряд ли будет всё так уж просто :}

>Хотя если посещать вконтакты, одноклассники, хабры, там, всякие, то тут вряд ли будет всё так уж просто :}

Ну так вот этого-то и опасаюсь! :) Вон, роман77 подтвердил, что парольчик у него от вконтактика стыряли через скриптовую атаку браузера :(

Итак, что мы имеем?

В Windows есть антивирусы, которые хоть как-то препятствуют атакам через браузер мониторя скрипты. Плюс вендоюзер может использовать в добавок и NoScript.

В Linux вся надежда только на NoScript?

Получается, что грамотный вендоюзер окромя защиты антивирусом используя еще и NoScript защищен лучше от кражи парольчиков в браузере, чем юзвер Linux?

Так украдут у тебя пароль с тех же самых вконтактов и т.д., а не всего и вся. Зачем ты ими пользуешься? :) Если очень надо, то запрещать iframe'ы, не клацать не ссылки и прочая полезная паранойя.

> Почти или никак?

Кто-то недавно, вон, обещал хакнуть интел-процессоры через джаваскрипт (!!!), но сел в лужу глубоко и надолго, теперь сидит тихо и не вылазит. Там тоже было «почти» возможно, выводы делайте сами.

Про то, что линукс-системы регулярно обновляются вместе со всем софтом в комплекте, я даже не упоминаю. А в виндовсах некоторые особо упоротые товарищи советуют всем отключать windows update сразу после установки.

PS. Общий вердикт я написал выше.

> В Windows есть антивирусы, которые хоть как-то препятствуют атакам через браузер мониторя скрипты.

Ты сам-то в это веришь? Эти антивирусы даже никогда не заглядывают в c:\WINDOWS\system32\drivers\etc\hosts хотя бы на предмет наличия одной строчки google.com, такая вот защита.

>Так украдут у тебя пароль с тех же самых вконтактов и т.д

А может быть такая дуристика, предположим: заходишь ты на какой-то левый сайтец, незаметно получаешь скрипт в браузер, дальше ходишь-бродишь везде, а скрипт притаился, сцуко, и выжидает... :) А вот когда заходишь на gmail, вводишь логин-пароль, и тут-то скриптик твой логин-пароль и тыряет. Такое реально?

А как он там притаился? :) Обычно скрипты ограничены и не могут к кому хочешь в другие окна / домены лазать.

Вообще, XSS дырку если найти (в данном случае у gmail), то можно что-нибудь провернуть по идее. А вообще, есть почтовые клиенты десктопные, лучше их использовать.

[imho] Паранойя диктует не использовать скрипты, а если очень надо, то завести для них отдельный профиль браузера, ну и/или разлогиниваться всегда в сервисах разных.

>[imho] Паранойя диктует не использовать скрипты, а если очень надо, то завести для них отдельный профиль браузера, ну и/или разлогиниваться всегда в сервисах разных.

Паранойя-то диктует, но без скриптов никуда в эпоху Вэб 2.0. Ни контент скачать, ни залогиниться :(

Т.е., насколько я понял, стырять логин пароль от гмейла/вконтактика можно только при двух услвиях:

1. Уязвимость на самом сайте вконтактика или гмейла 2. Если хранишь пароль в браузере.

В других случаях пароль стырять или руткит установить через XSS не получится. Правильно?

>но без скриптов никуда в эпоху Вэб 2.0

Постоянно этим занимаюсь :)

Если хранишь пароль в браузере

Тут зависит от толщины дыр в браузере. По идее, доступа к сохранённым в браузере паролям не должно быть.

В других случаях пароль стырять или руткит установить через XSS не получится. Правильно?

Сам браузер если дырявый или дырку найдут, то тоже можно здорово поживиться. Руткит установить это надо ещё постараться (есть некоторые сомнения, что вот так за здорово живёшь вставишь), а вот пароль на что-нибудь скомпрометировать всегда можно.

Всякие рекламы с рекламных доменов могут ещё хорошую свинью подкладывать. В общем, апдейты и здравый ум спасут отца русской демократии, более или менее :)

Спасибо за ответы.

А что по поводу «Уязвимость на самом сайте вконтактика или гмейла»? Я правильно понял, что только так можно стырить пароли от этих ресурсов? Ведь, как вы сказали ранее, «выжидать» скрипт не умеет :)

Ну, вообще да. В HTML5, помнится, есть всякие Web workers или как там их, но доступа у них для подобного, кажется, не было (не помню, честно говоря).

Если ты в гмейл разлогинен, то даже если (оставшиеся) куки украдут, то ничего не будет. Хотя если пришло письмо с HTML и картинками, и ты в веб интерфейсе его просматриваешь, то тоже «возможны варианты».

Ещё бывают такие сайты, которые в URL'е пихают кучу инфу, сессии и прочее, соответственно, если, например, какая-то картинка будет запрашиваться у сервера, то referer (URL ссылающейся) будет передаваться, что не сулит ничего хорошо. Но это уже какое-то злостное ССЗБ :}

Чаще всего ловят на простой социальной инженерии. Вроде, вам во вконтакт (и ссылка vkontakti.ru/блабла) пришло сообщение / оповещение / мильон рублей, и т.д., пройдите по ссылке для того-то и того-то. Тут фишинг :)

>Если ты в гмейл разлогинен, то даже если (оставшиеся) куки украдут, то ничего не будет. Хотя если пришло письмо с HTML и картинками, и ты в веб интерфейсе его просматриваешь, то тоже «возможны варианты».

Кстати, а вот это проблема! Потому что многие пользуются учеткой гмейла или хотмейла или мейлрушички или яндекса для работы с их браузерными панелями (закладки. календари и т.д.), что подразумевает, что пользователь должен постоянно находиться с включенной учеткой (залогиненный).

Вот в этом случае, если ты залогиненный в такой учетке и зашел на какой-то левый сайт, то могут увести пароль?

Я, честно говоря, не знаю как именно работают браузерные панели, т.к. в Опере их нет (^ ^) (хотя можно вставить страницу в боковую панель)

Хорошо, оставим браузерные панели. Человек просто зашел в свой почтовик, почитал письма и ждет от кого-то ответа. Страницу с почтой не закрывает и остается залогиненным. Продолжает бороздить Интернеты, пока ждет мейла. Вот в этом случае пароль можно стырить?

Мля, задрали с этой ересью. Посмотрите статистику серверов что ли.

Если почтовик в данном случае просто программа на десктопе, то нет, если веб-морда, то можно. Точнее, скорее всего пароль там не хранится, но с этими куками можно будет залогиниться. Если дырки найдёшь, конечно.

А все пошло с пресловутых «Гет ин фак» от микрософта, где они изложили как уныл линукс в плане безопасности в противовес винсервер. После этого переодически возникают такие статьи гуру аналитиков о дырках в линуксе, которые больше похожи на бабушкины сказки и страшилки для школьников.

>Точнее, скорее всего пароль там не хранится, но с этими куками можно будет залогиниться.

залогиниться, сменить пароль :(

>Страницу с почтой не закрывает и остается залогиненным. Продолжает бороздить Интернеты, пока ждет мейла. Вот в этом случае пароль можно стырить?

нет конечно

>нет конечно

А разве кукисы там всякие не висят во время того, как ты остаешься залогиненным?

И чем ты их будешь вытаскивать? RTFM. У скрипта есть доступ к кукизам своего домена.

s/своего/только своего/

> Более надёжным решением было бы ограничивать доступ к модификации критично важных переменных окружения.

Наверно, единственная дельная мысль, которая частенько проскакивает в подобных статьях. А то ну очень уж накладно запускать непроверенные приложения в песочнице.

конечно висят

но это абсолютно ничего тебе не даст