https://www.opennet.ru/openforum/vsluhforumID3/74651.html Alan Shimel привел (http://www.networkworld.com/community/blog/blaming-nasdaq-hack-open-source) в своем блоге интересный анализ беспочвенных спекуляций, возникший после взлома нью-йоркской биржи NASDAQ, использующей Linux в своей торговой платформе. Несмотря на то, что взлом был вызван атакой, позволившей осуществить подстановку SQL-запроса в прикладное web-приложение, консалтинговая компания Aite Group опубликовала отчет, в котором в качестве причины возможности подобного инцидента указала на использование свободного ПО и cloud-технологий. <br><br>URL: http://www.networkworld.com/community/blog/blaming-nasdaq-hack-open-source<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=29568<br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#68 Thu, 17 Feb 2011 05:42:35 GMT &gt;&gt; Не будем съезжать с темы.<br>&gt; А в чем состоит ваша тема? Конкретизируйте.<br>&gt;&gt; покажите мне ссылку на репорт который 2 года назад описывал багу в <br>&gt;&gt; linux kernel - которую исправили дай бог памяти в 2.6.32, а <br>&gt;&gt; занесли в 2.6.10? А ведь такой клевый метод получения root shell был.<br>&gt; Круто, круто. Повышение прав юзера у которого уже есть аккаунт.<br><br>ой. через любую дырявую веб прикладуху - и вот тебе акаунт.<br><br><br>&gt; там чинят, извините, возможность ремотного поимения системы. У пингвинов ремотное поимение <br>&gt; системы что-то весьма давно не попадалось. В отличие от. В винде <br>&gt; вообще разделение прав и пользователей какое-то доморощенное и с уймой ляпов/недоделок/странностей. <br><br>да да. ping of death в linux где-то пол года назад.<br>И постоянные анонсы о дырка в софте который выполняется на linux сервере - чем не ремотная дыра?<br>Или в вашем понятии linux это только ядро - с может быть запущеным ssh?<br>нет батенька - это еще и софт который крутится на нем.<br><br>А разделение прав на основе ролей - в Windows появил https://www.opennet.ru/openforum/vsluhforumID3/74651.html#67 Thu, 17 Feb 2011 05:30:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Мало ?:) <br>&gt;&gt;&gt; Вы про это? Ну и что вы голову морочите если речь шла <br>&gt;&gt;&gt; про FreeBSD каким боком тут linux-kernel вообще?<br>&gt;&gt;&gt; http://www.opennet.ru/opennews/art.shtml?num=1322 <br>&gt;&gt; Я лично наблюдал эту уязвимость на Linux серверах. Каким боком она к <br>&gt;&gt; FreeBSD не знаю.<br>&gt;&gt; Эта дура мелким UDP ложила наш VSAT канал.<br>&gt; Ну а что ж тогда ответную статью не написали в духе "а <br>&gt; вот хрен вам товарищи и линукс падает то же" и кстати <br>&gt; вы саму то новость читали?<br><br>Если я эту уязвимость почувстововал на себе - то наверно же читал?<br><br>&gt; Речь шла про Апач 1.3 без <br>&gt; него эта уязвимость, если я правильно понял, просто возникнуть не может. <br>&gt; Да-да, это была уязвимость Апача, кернел там вообще не причем :). <br><br>Включайте мозги. Уязвимость она у системы - и по большому счету сильно пофик в каком из компонентов возникла проблема - если результатом будет взлом и получение прав администратора.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#66 Thu, 17 Feb 2011 05:28:17 GMT Я не передергиваю. Я лишь предлагаю снять розовые очки.<br>Я лишь подчеркнул что у открытости 2 стороны.<br>Одна из них якобы быстрое исправление ошибок - хотя я сомневаюсь что если ошибка будет затрагивать серьезные подсистемы у крупного проекта - вы будете в состоянии это исправить без побочных эфектов (статистика lkml показывает что многие патчи оклоняются ибо вместе с исправлением бага добавляется стопка регрессий).<br>Вторая стороны это легкость исследования кода злоумышленниками - и далеко не факт что эти баги будут куда-то отрепорчены. И могут легко эксплуатироваться пока кто-то случайно не наткнется на них.<br><br>А ваш пример с явными ошибками - не удачен. Ошибки безопастности это далеко не падения программ - и очень часто это просто поведение при некоректных данных. Какая вероятность у вас заметить это?<br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#65 Wed, 16 Feb 2011 10:48:46 GMT &gt; Не будем съезжать с темы.<br><br>А в чем состоит ваша тема? Конкретизируйте. <br><br>&gt; покажите мне ссылку на репорт который 2 года назад описывал багу в <br>&gt; linux kernel - которую исправили дай бог памяти в 2.6.32, а <br>&gt; занесли в 2.6.10? А ведь такой клевый метод получения root shell был.<br><br>Круто, круто. Повышение прав юзера у которого уже есть аккаунт. В винде такое пачками чинят и еще полно непочиненого, особенно с 3rd party приложениями и дровами, где к этому вообще наплевательски относятся - получить там админа будучи юзером вообще не считается чем-то таким из ряда вон. Это в *никсах всегда серьезно относились к дележу прав юзеров и многопользовательскости, т.к. оно там реально используется. А в винде ... там чинят, извините, возможность ремотного поимения системы. У пингвинов ремотное поимение системы что-то весьма давно не попадалось. В отличие от. В винде вообще разделение прав и пользователей какое-то доморощенное и с уймой ляпов/недоделок/странностей. <br><br>&gt; Где эта ссылка?<br><br>Да фиг знает, в новостях может https://www.opennet.ru/openforum/vsluhforumID3/74651.html#64 Tue, 15 Feb 2011 11:09:55 GMT &gt; Я приводил ссылки из 2005 года, о багах которые давали рута и <br>&gt; не фиксились годами.<br>&gt; Или это теперь называется быстрым исправлением ?:) <br><br>Не фиксились годами... сколько слышу про это, но за последние три года, что читаю опеннет, такого рода новости мне попадались всего пару раз и то эти уязвимости были следствием использования цепочки уязвимостей, тогда как каждая из них ровным счетом из себя ничего не представляла.<br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#63 Tue, 15 Feb 2011 11:06:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Если уж сравнивать с этим червяком.. Давайте вспомним 2001 год - когда <br>&gt;&gt;&gt; дырка в apache позволила распространяться червяку который в итоге положил на <br>&gt;&gt;&gt; 2-3 дня интернет в европе.<br>&gt;&gt;&gt; Мало ?:) <br>&gt;&gt; Вы про это? Ну и что вы голову морочите если речь шла <br>&gt;&gt; про FreeBSD каким боком тут linux-kernel вообще?<br>&gt;&gt; http://www.opennet.ru/opennews/art.shtml?num=1322 <br>&gt; Я лично наблюдал эту уязвимость на Linux серверах. Каким боком она к <br>&gt; FreeBSD не знаю.<br>&gt; Эта дура мелким UDP ложила наш VSAT канал.<br><br>Ну а что ж тогда ответную статью не написали в духе "а вот хрен вам товарищи и линукс падает то же" и кстати вы саму то новость читали? Речь шла про Апач 1.3 без него эта уязвимость, если я правильно понял, просто возникнуть не может. Да-да, это была уязвимость Апача, кернел там вообще не причем :).<br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#62 Tue, 15 Feb 2011 11:02:31 GMT Не передергивайте мои слова. А если вам так надо могу расшифровать: открытая модель разработки вынуждает куда более тщательно его создателей следить не только за красотой "фейса", но и за безопасностью, не говоря уже про возможность получить информацию энтузиастов по улучшению.<br><br>Могу даже личный пример привести: работаю с неким оборудованием с неким ПО, разработчикам с предложениями по улучшению работы и обработке некоторых ошибок, которые они не учли, писал десятки раз и хоть бы хрен. А была бы это открытая разработка - давно сам все что нужно поправил и таки да теперь вынужден сам писать все тоже самое, лишь стать независимым от долбаной тех.поддержки.<br> https://www.opennet.ru/openforum/vsluhforumID3/74651.html#61 Mon, 14 Feb 2011 12:13:50 GMT &gt;&gt; Не будем съезжать с темы.<br>&gt;&gt; покажите мне ссылку на репорт который 2 года назад описывал багу в linux kernel - которую исправили дай бог памяти в 2.6.32, а занесли в 2.6.10? А ведь такой клевый метод получения root shell был.<br>&gt;&gt; Где эта ссылка?<br>&gt; Это что-то из разряда "я за вас свою работу делать не буду"?.. <br>&gt; Вроде с одной стороны критикуете Linux, с другой - требуете, чтобы <br>&gt; вам нашли ссылку на информацию про уязвимость в системе... <br><br>Ссылка на уязвимость была тут меньше года назад. Но тут отверждали что эти баги быстро находят и фиксят.<br>Вот я и хочу увидеть подтверждение этого тезиса - что баг нашли еще 2 года назад и пофиксили.<br>А том что баги не фиксятся годами (в случае видеодрайвера Intel - целых 4 года) я приводил.<br><br><br>&gt;&gt; Ой. буквально недавно была статья что Linux оказывается тоже не застрахован от этого.<br>&gt;&gt; И втыкая флэшку со специальной FS можно получить рута. Врут значит?<br>&gt; Вы действительно не видите разницы между небезопасной штатной функцией (автоматическим <br>&gt; запуском программы https://www.opennet.ru/openforum/vsluhforumID3/74651.html#60 Mon, 14 Feb 2011 12:11:02 GMT &gt; Рекомендуют обновлять ядро как раз-таки с целью исключить возможность многолетнего эксплуатирования известных уязвимостей, злоумышленнику гораздо легче вскрыть и распотрошить систему зная, что там наверняка стоит.<br><br>То есть вы признали что открытый код помогает злоумышленику находить и эксплуатировать уязвимости?<br><br>И пожалуста без детского съезда - "а вот у них еще хуже".<br>