Kirjoittaja Aihe: Mitä onko tämä huijausta?  (Luettu 7997 kertaa)

heikkila

  • Käyttäjä
  • Viestejä: 38
    • Profiili
Asus eee pc 904HD + Arch

Itsekasattu 3.0GHz P4/1000GB+1000GB+500GB/3GB + U Karmic

qwertyy

  • Käyttäjä
  • Viestejä: 5778
    • Profiili
Vs: Mitä onko tämä huijausta?
« Vastaus #21 : 23.08.09 - klo:01.02 »
Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.
Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

Stop stop stop. Lainataas Sinun omaa tekstiä heti tuohon perään
Lainaus
alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan
Huomasitko? Vastasit aika pitkälti omiin spekulaatioihisi, vai meinaatko ihan pokerinaamalla alkaa väittämään, että MS julkaisee kaikki heidän järjestelmän tietoturvaongelmat julkisesti? C'mon  ::)

Ts. Onko ihan aikuisten oikeasti joku ihme, että Linuxista on löytynyt enemmän julkisesti tiedossa olevia aukkoja? Mitäs Windows yhteisö voi tehdä alamaailman hakkereiden haavoittuvuuksien estämiseksi? Kerro heti jos he voivat vaikuttaa olennaisesti tähän suljettuun koodiin.
« Viimeksi muokattu: 23.08.09 - klo:01.05 kirjoittanut qwertyy »

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Vs: Mitä onko tämä huijausta?
« Vastaus #22 : 23.08.09 - klo:09.59 »
miksei herra/neiti itse korjaa aukkoja jos noinkin paljon pelottaa
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Exitium

  • Käyttäjä
  • Viestejä: 1013
    • Profiili
Vs: Mitä onko tämä huijausta?
« Vastaus #23 : 23.08.09 - klo:10.25 »
Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.
Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

Stop stop stop. Lainataas Sinun omaa tekstiä heti tuohon perään
Lainaus
alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan
Huomasitko? Vastasit aika pitkälti omiin spekulaatioihisi, vai meinaatko ihan pokerinaamalla alkaa väittämään, että MS julkaisee kaikki heidän järjestelmän tietoturvaongelmat julkisesti? C'mon  ::)

Ts. Onko ihan aikuisten oikeasti joku ihme, että Linuxista on löytynyt enemmän julkisesti tiedossa olevia aukkoja? Mitäs Windows yhteisö voi tehdä alamaailman hakkereiden haavoittuvuuksien estämiseksi? Kerro heti jos he voivat vaikuttaa olennaisesti tähän suljettuun koodiin.

[offtopic] Touché! :D [/offtopic]

Oli ihan pakko.
Welcome to my signature!

Please note that this signature is licensed under the General Public License. By embedding the signature, or parts of it, into your brain other than by mere aggregation, your brain becomes a combined, and therefore derived, work and thus must be licensed under the GPL too

Stargazers

  • Käyttäjä
  • Viestejä: 549
    • Profiili
Vs: Mitä onko tämä huijausta?
« Vastaus #24 : 27.08.09 - klo:08.14 »
1. Mihin tää tietoturva väite perustuu?

Varmaankin siihen että hyvinkin pitkälti peruskäyttäjillä se on turvallisempi kuin esim. Windows.
Peruskäyttäjät eivät osaa säätää palomuureja, virustorjuntoja yms.

Mitä olen tutustunut tapaan miten linux lataa suoritettavat tiedostot muistiin niin ei kyllä siltä näytä. Esim linuxin käyttämät .dtors ja .ctors segmentit ja etenkin GOT (global offset table) mahdollistaa arbitrary dword overwrite haavoittuvuuksien hyväksikäytön niin että saadaan helposti aikaan koodin suorittamista. Joka on tietysti merkittävä vaara niin peruskäyttäjille että servuile.

Antaisitko lähdeviittaukset mistä olet tutustunut tähän asiaan.

Vaikuttaako nämä ns. yhden käyttäjän kotikäytössä, vai silloin kun koneella pyörii palveluita ja pitää ensin päästä etäyhteydellä tähän koneeseen (jotain palvelua käyttäen, esim. ssh/telnet jne), jonka jälkeen vielä pitää päästä se exploitti laittamaan? Vai onko tämä sellainen että näet verkossa Linux-koneen, jonka sitten vain etänä exploittaat?

Ja jätetään nyt tästä ulkopuolelle ne käyttäjät jotka ajavat mitä vain kun joku pastettaa foorumilla.

Windowsissahan tollanen on lähes mahdottomuus kun mittää funktiopointtereita ei säilytetä ennalta-arvattavissa osoitteissa. Tosin kyl toho linuxiinki joku (tosi) alkeellinen ASLR tuli kernelissä 2.6.12, joka ei ainakaan kata GOTia ja noita .dtorseja. No ei se mitää, mac os x tyypeillä menee linuxiakin huonommin.

Annatko viitteet tähänkin. Eli mistä olet lukenut tuon funktiopointterien muistipaikat Windowsissa?
Toisekseen, millä tapaa ASLR on alkeellinen, senkö takia kun ei kata GOTia ja .dtorseja?
Kuinka tämä näkyy _tavan_ käyttäjän elämässä?


tse olen eri mieltä sillä alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan . Samoin, kun joku yksi sopiva skriptikersa löytää sen yhdenkin sopivan haavoittuvuuden niin se voi saada paljon pahaa aikaan.

Jos näistä kerta luet RSS feedeistä milw0rmilta, voidaanko tästä jotenkin muka päätellä että he pitävät asiat ns. "omana tietonaan"?

Ja edellee, mä oon tilaillu rss feedin milw0rmilta niin linuxin kernelistä löydetää vakavia haavoittuvuuksia joka viikko, mikä syö kyllä paljon uskottavuutta. Pistän pari tähän todisteeksi (valitsin vain niitä pahimman näköisiä joita ei pitäis alunperinkään olla yhtään):

Niin, eihän niitä pitäisi. Eikä pitäisi olla nälänhätää eikä sotia, aina pitäisi olla sellainen keli kuin itse haluaisi. Kuitenkin elämme maailmassa missä kaikki ei aina ole täydellistä ja ihanaa.

Kuitenkin on mietittävä noita aukkoja. Kuinka realistisena pidät, että tuollaiset aukot tulevat mahdollistamaan täysin ulkopuolelta tulevat tietomurrot?

Eli jos koneella on vain yksi käyttäjätunnus eikä etäyhteyttä SSH:lla/Telnetillä eikä mitään palvelimia pyöri, kuinka todennäköisenä pidät että joku häxää koneesi noita aukkoja käyttäen?

Samu Wikstedt

  • Käyttäjä
  • Viestejä: 47
    • Profiili
Vs: Mitä onko tämä huijausta?
« Vastaus #25 : 31.08.09 - klo:15.20 »
Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

Jätät aika sujuvasti huomioimatta sen miten nuo aukot vaikuttavat, kun yhtä käyttöjärjestelmää on pakko käyttää admin oikeuksilla kun taas toisessa luonnollinen käyttö on user-tason oikeuksilla. Windows on hitaasti siirtymässä oikeaan suuntaan, mutta to-del-la hitaasti.

-Samu

Taro Turtiainen

  • Käyttäjä
  • Viestejä: 579
    • Profiili
    • Taro Turtiainen
VASEMMISTOLIITTO - RIKKAUTTA JOLLA ON ARVOA

”Ei ole olemassa todellista vapautta ilman toisinajattelun vapautta.” Rosa Luxemburg 1918