freedesktop.org!=ubuntu

Ну что ж,ждём патча.

А, чёрт, я протупил.

Линукс изначально ориентирован на пользователей, которые представляют что делают и не переспрашивает, если ему отдать команду rm -rf /bin или /home, а просто делает. Автоматическое монтирование флешек — как раз плюшка с точки зрения удобства и вопрос перед запуском чего бы там не было с флешки — то же самое. Так что не вижу чем тут поведение отличается в худшую сторону от любой из имеющихся ОСей. К тому же хотел бы отметить, что линукс никогда не позиционировался как «безопасная система для хомячков», ибо последние, мечась по клетке могут и кормушку опрокинуть и лапку в колесе сломать. На них нацелена система MacOsX, авторства фирмы Вам, судя по Вашему аватару, знакомой.

:D

В Mac OS X не всё так радостно. У них уже вирусы есть :)

Так же хотел бы отметить, что гадости сами как раз не запускаются. Их запуск требуется подтвердить, то есть по сути не сильно отличается от любого .sh файла на флешке, который пользователю самому и придётся запустить. К сожалению ни одна ОСь не может исправить проблему, которая сидит перед монитором.

Все-таки хочется послушать, в чем вина конкретно «Шуттлевортха» в том, что в Наутилусе есть авторан.

Не позволяй софту быть умнее тебя, и всё будет прекрасно.

Ага, взаимно. Способы компрометации: 1. Использование ошибок в реализации драйвера файловой системы при монтировании устройства. При этом способе специальным образом сформированная ФС может вызвать выполнение вредоносного кода с привилегиями ядра. 2. Использование уязвимости в библиотеках подготовки эскизов. Т.к. некоторые современные linux-дистрибутивы при добавлении нового USB-носителя автоматически запускается файловый менеджер и запускается процесс построения эскизов. Таким образом USB-носитель, содержащий специальным образом сформированные файлы (PDF, tiff, etс), может вызвать компрометацию системы на этапе построения эскизов. 3. Еще один вариант предлагает спецификация freedektop.org, где указана возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, однако при этом требуют подтверждения запуска подобных скриптов пользователем.

Способов возможной компрометации 3. Не обязательно использовать третий способ. И кто тут читает жопой?

[opennet]В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10. Для организации выполнения кода использовалась уязвимость в коде приложения Evince, используемого в Nautilus для формирования эскизов для DVI-документов. При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки. В то же время докладчик резонно указал на слабую энтропию ASLR и недостатки AppArrmor. В момент вставки накопителя был активен хранитель-экрана, который не повлиял на автоматический запуск Nautilus и эксплуатацию в процессе создания эскизов.[/opennet]

> На них нацелена система MacOsX, авторства фирмы Вам, судя по Вашему аватару, знакомой.

Ты в курсе, что там авторан как класс не работает? А инсталлятор, если нужно какой-то скрипт пре-инсталляции запустить, переспросит?

При этом в логе можно наблюдать, чего он на самом деле делает.

> Все-таки хочется послушать, в чем вина конкретно «Шуттлевортха» в том, что в Наутилусе есть авторан.

Он такое предложил еще до того, как фридесктоп принял.

Ну что ж,ждём патча.
Выпущен больше месяца назад:
http://launchpad.net/ubuntu/+source/evince/2.32.0-0ubuntu1.1
http://www.ubuntu.com/usn/usn-1035-1

>К сожалению ни одна ОСь не может исправить проблему, которая сидит перед монитором.

Может, если монтировать всю втыкаемую медию с noexec. Если пользователю надо набирать sh /media/thumbdrive/autorun.sh или /lib/ld-linux.so.X /media/thumbdrive/binary, то это уже не авторан будет, а уверенное ССЗБ.

> подарить затрояненую флешку

не флешку, а «специальную программируемую USB-плату» тогда уж. :D

«При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки. »

очередной сферический вирус в вакууме?

>Так же хотел бы отметить, что гадости сами как раз не запускаются. Их запуск требуется подтвердить, то есть по сути не сильно отличается от любого .sh файла на флешке, который пользователю самому и придётся запустить.

Если долго грузить пользователя окошками с предложениями выполнить лажовую операцию, то велика вероятность что однажды они продолбят ему мозг, он протупит и ответит на вопрос неправильно. И вдобавок, если скрипты запускаются сами, то вероятнось что их код прочтут перед выполнением, со временем стремится к нулю.

Про эскизы рак какой-то. Файлы, для которых эскизы делаются, что, только на флешке приносятся? И что, ошибки бывают только в библиотеках, связанных с обработкой эскизов? Он бы уже сказал, что на линуксе и музыку слушать опасно, потому что можно сделать специальный mp3-файл, при открытии которого плеером будет автоматически выполняться некий код, чоужтам.

в *опу все ваши убунты с вашими авторанами.

все больше убеждаюсь, что ubuntu - все меньше linux.

Плюсую. Монтирую через UUID из меню OpenBox - легко и удобно.

Мало ли кто что предложил, реализовали-то это разрабы Наутилуса. А кто у нас основной пильщик гнома? Редхат? Новелл?
А сам Марк вообще с гнома съезжает.

> это только в какой-нить бубунте по умолчанию флешечека сама открывается

По умолчанию ничего само не открывается, но ССЗБ могут настроить, чтоб отрывалось

ubuntu!=linux

fox@darkstar:~$ lsb_release -d
Description:   Ubuntu 10.04.2 LTS
fox@darkstar:~$ uname -sr
Linux 2.6.32-29-generic

:-D

>Способов возможной компрометации 3. Не обязательно использовать третий способ. И кто тут читает жопой? Вас уже как минимум двое. первый и второй к freedesktop не имеет отношения.

Давай пример, для включения которого не нужно будет вводить пароль админа :)

Да и вообще тема к тем масштабам, что творятся на винде, не имеет никакого отношения. Могу только посочувствовать строителям ботнетов, которым придется колупаться в исходниках либ и фс, дабы отыскать баги, и потом пытаться получить рута дабы внедрить троянчика(который тоже придется компилять под разные дистры(разные версии дистров) или статически прифигачивать к своему троянчику все либы). Особено будет смешно, когда первый вменяемый обнаруживший вирус отправит баг, и n-месячное задротство ботопейсателя накроется медным тазом.

мда, прав был izen когда говорил что фря круче линукса - там при втыкании флешки сразу кернел паник был

Докатились

Гы! Так и хочется продолжить «заметило обкусанное яблоко».)))

Но все же скажу другое: в ж*пу автораны, чем их меньше, тем жить проще (и лучше!).

> fox@darkstar:~$ lsb_release -d

Description: Ubuntu 10.04.2 LTS

darkstar

Ubuntu

Не позорил бы славный darkstar.. (дефолтный хостнейм слаки)

Или ссылку кидать на картинку где тётка с сиськами и мужик бумажку SARCASM держит?

Опа-опа, давай!

Возможная компрометация Linux-системы...

А ещё можно воткнуть железную ложку в USB-порт. Linux тоже упадёт. И винда упадёт. Да что угодно упадёт.

Бида-бида. И когда же выпустят ложкопатч этой уязвимости? Или против лома нет приёма, потому-что уязвимость аппаратная?

Погуглите что такое «компрометация»

> Модель «папа, можно, я порулю? — Да... то есть нет, лять, мы стремительно теряем высоту, какого хрена!!!» изначально небезопасна. Модель «сиди и не рыпайся, пока я четко не скажу дважды» намного прочнее.

вообще-то в том случае было «папа, можно, я порулю?.. отдай управление, автопилот, отдай управление живо, давай-давай не выпендривайся! — ...лять, мы стремительно теряем высоту, какого хрена!!!»

Да что уж там говорить, взлом Windows-системы при помощи USB-кабеля и телефона — обычное дело. От пакетов, передаваемых по USB, там просто никто не планирует защищаться.

>При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) были намеренно отключены для успешной демонстрации атаки.

а еще он 100% сидел под рутом и на все предложения запустить хоть какой-то вирус отвечал согласием.

Эм... ну что сказать, наутилус - квинтэссенция заботы гнома о пользователях, программы работающей более по дурацки я пока не видел...

Слабо вериться

http://www.230km.ru/news.php?id=124&m=&theme=cportkaryi-marussia-nachnut-prod...

USB-носителя автоматически запускается файловый менеджер как же)))

Будут вирусы - будет и борьба с ними. А то панику подняли, вирусы, ужас, так жить больше нельзя, мы все умрём, надо обратно на оффтопик переходить и т. д.

Джон Ларример указал на потенциальную возможность и больше ничего.

П.С. Не совсем понятно, в каком контексте мы здесь обсуждаем мак.

http://wiki.kinokadr.ru/wiki/%D0%A2%D0%B0%D0%B1%D0%BB%D0%B8%D1%87%D0%BA%D0%B0...

Я надеюсь ты не думал там действительно сиськи? :D

>Давай пример, для включения которого не нужно будет вводить пароль админа :)

Даже в Windows под анально ограниченным пользователем сложно подхватить вирус

Предложи альтернативу, анон.

> отключение превью в ФМ _не_спасет_ от прохождение вируса. СЮРПРИЗ.

А мой mc и не знает. Всё, теперь будем бояться.

«компрометация»? это не по-русски.

>Могу только посочувствовать строителям ботнетов, которым придется колупаться в исходниках либ и фс, дабы отыскать баги, и потом пытаться получить рута дабы внедрить троянчика

Чтобы прописаться в автозапуске или хомяковых *.desctop файлах нужен рут?

(который тоже придется компилять под разные дистры(разные версии дистров) или статически прифигачивать к своему троянчику все либы)

Не надо проецировать типичные сишные корявости на другие языки. Кроссдистрибутивность и статика самого важного, нормально работают искаробки, а версии glibc и прочее проблемное разделяемое ПО такие программы не интересуют. Ну не нужны они им для запуска и нормального функционирования, они нужны лишь для окружения. Несколько больший размер бинаря лечится strip + upx. Просто, пока винда в моде, кодить такое под линукс реальным пацанам в лом.

Особено будет смешно, когда первый вменяемый обнаруживший вирус отправит баг, и n-месячное задротство ботопейсателя накроется медным тазом.

Дык антивирусы под линь не ставят, значит основную часть кода можно будет юзать много много раз с минимальными изменениями, только придумать новое название файла, пути и способ попадания в систему.

Линукс готов для десктопа!!!

> А сам Марк вообще с гнома съезжает.

Натуральный кочевник. Приехал, нагадил, съехал, а вы разбирайтесь.

> Дык антивирусы под линь не ставят, значит основную часть кода можно будет юзать много много раз с минимальными изменениями

Появление вирусов сподвигнет софтописателей устранять уязвимости в своих детищах, так что глобально, я считаю, для OpenSource вирусы это не столько проблема, сколько фактор, повышающий качество кода. Вот в мире проприетарщины это проблема, да.

как страшно жить

>Появление вирусов сподвигнет софтописателей устранять уязвимости в своих детищах, так что глобально, я считаю, для OpenSource вирусы это не столько проблема, сколько фактор, повышающий качество кода. Вот в мире проприетарщины это проблема, да.

Да, да, да, счас. Никакой легальный репозиторий не согласится принять в себя ПО нарушающее лицензии. А если его будет много и возникнет устойчивый спрос?

Ждем ебилдов^Wпатчей.

Какие то они больно параноидальные усi. А ну як же систiме не похей, коли користувач в окремій туалетній кабінці сидить?

тухлый вброс с толстенным намёком на офтопик. как будто специально для оживления ЛОРов.

про тумбнэйлы вообще не в кассу - типа «при событии А в системе выполняется действие Бэ! и это может нанести вред компутеру!!11адын». ну чо, пусть выключит свой этот чувак. самое безопасное, как известно.

а про разграничение прав процессов (текущая схема явно устарела и не подходит для десктопных use-case'ов) и возможности ограничения потребления ресурсов системы - вопрос гораздо более широкий.