Kirjoittaja Aihe: Linux, ohjelmistot ja avoimenkoodin turvallisuus, vai illuusio turvallisuudesta?  (Luettu 5057 kertaa)

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
En oikein löytänyt yleistä keskustelua koskien Linuxia ja tietoturvallisuutta, vaan vanhoja virus/palomuuriketjuja, joista monet vielä kysymysmuotoisia ja kohdistettu johonkin jakeluversioon. Joten päätin pykätä pystyyn uuden yleisen ketjun koskien aihetta, kun satuin törmäämään Slashdotin pwnie awards juttuun, jossa Linux on suhteellisen kovassa käsittelyssä.
http://it.slashdot.org/story/09/07/31/2325257/Linux-Twitter-and-Red-Hat-Win-Big-At-Pwnie-Awards ja tarkemmin sivu http://pwnie-awards.org/2009/awards.html
missä pisti silmään erityisesti "Lamest Vendor Response: Linux"
Lainaus
The Linux kernel development team was nominated several times over for their ongoing lack of handling of bugs of "unknown impact" and generally assuming that all kernel memory corruption issues are only Denial-of-Service issues. Here's a hint: Just because you can only get a DoS from a bug, doesn't mean that skilled hackers can't get a root shell out of it.
Ja alkuperäisessä lainauksessa tuolla sivulla on linkit mm. can't get a root shell out of it kohdissa, joiden lukeminen oli aika mielenkiintoista.

Toki aukotonta järjestelmää ei ole olemassakaan, mutta mieleeni tuli, että alkaako Linux saamaan "kriittisen massan" kehittäjistä, joilla on ylimalkainen asenne bugeja kohtaan? Koodiahan tulee ihan hirvittävää kyytiä Linuxiin, mutta niin myös alkaa tuleen käyttäjiä joita kiinnostaa järjestelmän haavoittuvuudet. Seuraa väistämätön kysymys, että onko Linux enää ylipäätään lähellekään niin turvallinen, mitä käyttäjät luulevat. Kukaan ei varmasti kiellä, etteikö mm. tällä foorumilla pidetä yleisesti Windowsia erittäin haavoittuvaisena järjestelmänä ja Linuxia vastaavasti todella turvallisena vaihtoehtona. Äärimmäisyyksissä palomuurit ja virustorjunnat on Linuxissa _täysin_ turhia, kysymättä välttämättä käyttäjältä edes koneen käyttökohdetta. Lähes ainoana turvallisuusriskinä tunnutaan yleisesti pitävän ulkopuolisia jakelulähteitä, mikä tietysti onkin mahdollinen turvallisuusriski, mutta Ubuntun repoistakin alkaa löytymään vaan aikalailla monen näköistä ja monien mielestä varmasti ihan turhaa sälää.

Toisaalta voidaan avata myös launchpad ja alkaa tutkimaan bugiraportteja. On aika mielenkiintoista, että monet bugit on suljettu sillä verukkeella, että vika on korjattu vielä alpha/beta asteella olevassa julkaisussa. Ok, seuraava esimerkki ei liity mitenkään tietoturvaan, mutta tämä on tekemäni bugiraportti
https://bugs.launchpad.net/alarmclock/+bug/380442
Suljettu, mutta nytkään asennettaessa alarm-clock Jauntyyn, sen versio ei vielä ole 1.0

Tilanne siis "Fix released"? Kuinkahan paljon mahtaa olla potentiaalisia turvallisuus bugeja (jonkinlaisia muistivuotoja tms?), joille on käynyt samoin?

Onko tällä foorumilla lukijoita, jotka lukevat/tarkistavat jollain tasolla, jotain lähdekoodista mitä repoissa on? Avointa koodia kun kerran pidetään lähes automaattisesti todella turvallisena. Avointa koodia on pidetty mm. joissain podcasteissa ihan sen kummemmin perustelematta turvallisena. Kortilla tietysti aina kääntöpuoli, sitä ei kait kukaan erehdy kieltämäänkään? Kumpi kiinnostaa enemmän, tarkistella avointa koodia ja tehdä siihen parannuksia, vai tarkoitusperäisesti etsiä siitä haavoittuvuutta mitä voi hyödyntää omiin tarkoituksiin? Villi veikkaukseni, että jälkimmäiseen ryhmään löytyisi todella paljon anonyymejä käden nostajia.

Asia on alkanut askarruttamaan ainakin minua aina vain enemmän, mitä enemmän Linuxia on tullut käytettyä nyt parin vuoden aikana. Toivottavasti en saa mitään äärifanaattista väittelyä aikaiseksi, mutta olen aukaissut keskustelun.

Mitä mieltä Te olette?

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Tartun tähän aikaan aamusta vain tähän kohtaan

Lainaus
Toisaalta voidaan avata myös launchpad ja alkaa tutkimaan bugiraportteja. On aika mielenkiintoista, että monet bugit on suljettu sillä verukkeella, että vika on korjattu vielä alpha/beta asteella olevassa julkaisussa. Ok, seuraava esimerkki ei liity mitenkään tietoturvaan, mutta tämä on tekemäni bugiraportti
https://bugs.launchpad.net/alarmclock/+bug/380442
Suljettu, mutta nytkään asennettaessa alarm-clock Jauntyyn, sen versio ei vielä ole 1.0

Tilanne siis "Fix released"?

No ei tosiaankaan ole "Fix Released" Koska ei ole repoissa uudempaa versiota saatavilla.
"Fix Committed" olisi parempi vaihtoehto.
(Ei myöskään ole 9.10 repoissa tuota uudempaa versiota)

Itse aukaisisin tuon uudelleen.

EDIT//
Itse korvaisin tuon ohjelman "at" komennolla
« Viimeksi muokattu: 01.08.09 - klo:09.35 kirjoittanut gdm »
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Tuxer

  • Käyttäjä
  • Viestejä: 657
  • Debian 7.0, Sailfish
    • Profiili
    • opendimension.org
Mielenkiintoista lukemista.

Ihan yleisenä kommenttina sanoisin että pitäisi näissä turvallisuuskeskusteluissa tehdä ero käytön välillä. Toisin sanoen, jotta keskustelu voisi olla jotenkin täsmällistä niin pitäisi puhua yhdestä asiasta kerrallaan:
Linuxin turvallisuus
a) kotikäytössä
b) palvelinkäytössä
c) monikäyttäjäympäristössä

Monikäyttäjäympäristö on ihan eri tilanne kuin tavallisen käyttäjän kotikäyttö. Riskit ovat toisenlaiset kun käyttäjiä on paljon, esim. käyttäjätunnuksia voi vuotaa ulkopuolisille. Samoin palvelinkäytössä täytyy "sietää" kaikkea mitä netistä voidaan palvelimelle heittää. Kotikäytössä (tavan käyttäjällä) ulkopuolisia käyttäjiä ei ole. Reikä Apachessa ei vaikuta kotikäyttäjään eikä edes mahdollisuus saada root-tunnukset jollain tietyllä komennolla vaikuta kotikäyttäjään  jos tuota käskyä ulkopuolinen ei pääse kirjoittamaan.

Aika monet esim. kernelin aukoista ovat olleet sellaisia, jotka vaativat ensin pääsyn koneelle. Kun tämä sitten julkaistaan Linux-haavoittuvuutena, niin saa vaikutelman että kotikone on nyt äärimmäisessä vaarassa. Mutta jos koneella ei ole ulkopuolisia käyttäjiä, niin ei tuota aukkoa pysty kukaan hyödyntämään. Toisin on asia monikäyttäjäympäristössä.

Kaiken kaikkiaan sanoisin että linux on kotikäytössä äärimmäisen turvallinen kunhan päivitykset tehdään. Vertailua muihin käyttöjärjestelmiin en halua tehdä koska en niitä käytä :)




"Menehän Tonttu Tomera tarkastamaan ollaanko korsuissa kiltisti."
Fingerpori

muep

  • Käyttäjä
  • Viestejä: 896
    • Profiili
Kannattaa lukaista Kuvaus Ubuntun osista (main,universe,jne)

Eli tietoturvapäivitykset taataan ainoastaan main-varaston paketeille. Esim. universelle ei luvata. Vähemmän kriittisistä päivityksistä nyt puhumattakaan.

Alarm-clock on universessa. Eli voi siitä bugia aukoa, mutta itse kyllä veikkaan, että eivät noin vähäistä ongelmaa rupea erikseen korjaamaan. Ubuntuun yleensäkään ei päivitetä uudempia ohjelmia enää julkaisun jälkeen.

« Viimeksi muokattu: 01.08.09 - klo:11.55 kirjoittanut muep »
[http://smolt.fedoraproject.org/show?uuid=pub_ac53b581-021a-4b76-bd14-e7d51f55462f]Pöytäkone[/url]
Läppäri

lompolo

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Lainaus
https://bugs.launchpad.net/alarmclock/+bug/380442
Suljettu, mutta nytkään asennettaessa alarm-clock Jauntyyn, sen versio ei vielä ole 1.0

Tuota ei ole ilmoitettu Ubuntun osalta, vaan Alarm-clockin ylävirtaa vastaan. Tässä tapauksessa fix-released on oikein. Also Affects distribution kohdasta voisi lisätä tehdtävän Ubuntulle. Parempi olisi kuitenkin varmistaa seuraava https://bugs.launchpad.net/ubuntu/+source/alarm-clock/+bug/400605
Muutat vain tilan new muotoon confirmed ja lisäät kommentin syystä.

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Lainaus

Onko tällä foorumilla lukijoita, jotka lukevat/tarkistavat jollain tasolla, jotain lähdekoodista mitä repoissa on? Avointa koodia kun kerran pidetään lähes automaattisesti todella turvallisena. Avointa koodia on pidetty mm. joissain podcasteissa ihan sen kummemmin perustelematta turvallisena. Kortilla tietysti aina kääntöpuoli, sitä ei kait kukaan erehdy kieltämäänkään? Kumpi kiinnostaa enemmän, tarkistella avointa koodia ja tehdä siihen parannuksia, vai tarkoitusperäisesti etsiä siitä haavoittuvuutta mitä voi hyödyntää omiin tarkoituksiin? Villi veikkaukseni, että jälkimmäiseen ryhmään löytyisi todella paljon anonyymejä käden nostajia.





Olen pohdiskellut viime aikoina ohjelmia asentaessa tuota koodin tarkistamista. Joitain maksimissaan tuhannen rivin ohjelmia jaksaisi vielä päällisin puolin vilkuilla, mutta monimutkaisempien ohjelmien tarkistamiseen ei oma aivokapasiteetti riitä. Eli kuulun pelkkien käyttäjien ryhmään, josta ei sinänsä ole hyötyä järjestelmän kehittämiseen.

Tarkimmin olen tainnut tutustua gallery2:een, josta piti tutkia lähdekoodia saadakseen halutut muokkaukset suoritettua. Mutta tietoturvan kannalta ei tullut sitäkään tarkasteltua.
« Viimeksi muokattu: 02.08.09 - klo:00.54 kirjoittanut Tha-Fox »

UbunTux

  • Käyttäjä
  • Viestejä: 2046
  • KubunTux
    • Profiili
Pitäisikö paketinhallinnan kysyä: "Haluatko varmasti asentaa ssh-palvelimen koneellesi?...." yms tiettyjen ohjelmien kohdalla?

Itse olen ainakin sillä kannalla ja komentoriville voidaan aivan hyvin lisätä vipu tuon kyselyn ohittamiseen.
KDE neon
Uudempaa KDE:tä Ubuntulla

Storck

  • Vieras
Pitäisikö paketinhallinnan kysyä: "Haluatko varmasti asentaa ssh-palvelimen koneellesi?...." yms tiettyjen ohjelmien kohdalla?

Itse olen ainakin sillä kannalla ja komentoriville voidaan aivan hyvin lisätä vipu tuon kyselyn ohittamiseen.

En itse halua mitään vistamaista "järkkyidioottiturvallista" konetta. Kysyy lupaa joka ikiseen asiaan - ei kiitos.

UbunTux

  • Käyttäjä
  • Viestejä: 2046
  • KubunTux
    • Profiili
Pitäisikö paketinhallinnan kysyä: "Haluatko varmasti asentaa ssh-palvelimen koneellesi?...." yms tiettyjen ohjelmien kohdalla?

Itse olen ainakin sillä kannalla ja komentoriville voidaan aivan hyvin lisätä vipu tuon kyselyn ohittamiseen.

En itse halua mitään vistamaista "järkkyidioottiturvallista" konetta. Kysyy lupaa joka ikiseen asiaan - ei kiitos.
Ööh.. esim tuon ssh-palvelimen riskit ovat huomattavasti suuremmat kuin jonkun herätyskellon yms. Eikä tuollaisia ohjelmia ei ole edes kovin montaa.
KDE neon
Uudempaa KDE:tä Ubuntulla

Stargazers

  • Käyttäjä
  • Viestejä: 549
    • Profiili
No en kyllä haluaisi itsekkään mitään "Haluatko varmasti asentaa" -tyyppisiä kysymyksiä. Jos kerta olen itse laittanut "sudo aptitude install ssh" niin kyllä minä sitä myös tarkoitan. En halua että käyttöjärjestelmä alkaa kyselemään että "Oletko nyt aivan varma, voi olla riski" yms. Lopulta vastuu on käyttäjällä. Ja toisekseen, ne ketkä eivät tiedä mikä on SSH, eivät myöskään sitä asenna, toivottavasti ainakaan. Ärsyyntymiskäyrä kasvaa exponentiaalisesti tuollaisten jonninjoutavien kysymysten kohdalla, jotka automaattisesti tulee kuitattua "yes" lukematta mitä siinä sanotaan.

Mutta mitä taas tulee alkuperäiseen topicin kysymykseen, niin jaa-a. Paha mennä sanomaan.
On toki paljon ohjelmia joissa on varmasti bugeja ja jotka voivat tehdä aukon järjestelmään. Kuitenkin, monet ns. tavalliset ohjelmat jos ovat bugisia, eivät ne silti avaa mahdollisuuksia pääkäyttäjän oikeuksille tekemään laajaa tuhoa. Toivottavasti ainakaan :)

Eli niin kauan kuin kriittisemmissä ohjelmissa (niissä mitkä ajetaan roottina tässä kontekstissa) ei ole vakavia aukkoja, on kaikki hyvin, uskoisin. Aika näyttää :)

UbunTux

  • Käyttäjä
  • Viestejä: 2046
  • KubunTux
    • Profiili
No en kyllä haluaisi itsekkään mitään "Haluatko varmasti asentaa" -tyyppisiä kysymyksiä. Jos kerta olen itse laittanut "sudo aptitude install ssh" niin kyllä minä sitä myös tarkoitan.
Koodia: [Valitse]
sudo apt-get install openssh-server --ignore-notifications tms  ;)
tai joku rc tiedosto etc:hen, josta saisi tuon pois esim poistettu server-versiosta.
« Viimeksi muokattu: 02.08.09 - klo:12.36 kirjoittanut UbunTux »
KDE neon
Uudempaa KDE:tä Ubuntulla

Storck

  • Vieras
Koodia: [Valitse]
sudo apt-get install openssh-server --ignore-notifications tms  ;)

Miksi? Kyllä lähtökohta pitää olla se että asentaessa TIETÄÄ mitä tekee, jos ei tiedä niin sellaisella ei saa olla oikeuksia asentaa mitään!! Holhousyhteiskunta on jo riittävä "äiti" minulle, en tarvitse enkä halua muita holhoajia.

UbunTux

  • Käyttäjä
  • Viestejä: 2046
  • KubunTux
    • Profiili
Koodia: [Valitse]
sudo apt-get install openssh-server --ignore-notifications tms  ;)

Miksi? Kyllä lähtökohta pitää olla se että asentaessa TIETÄÄ mitä tekee, jos ei tiedä niin sellaisella ei saa olla oikeuksia asentaa mitään!! Holhousyhteiskunta on jo riittävä "äiti" minulle, en tarvitse enkä halua muita holhoajia.
Näitä käyttäjiä täällä on useitakin, jotka asentavat kaikkea  samannäköistä pakettia, kun jokin ei toimi.  ::)

BTW
testaa
Koodia: [Valitse]
sudo apt-get remove apt ;)
« Viimeksi muokattu: 02.08.09 - klo:12.41 kirjoittanut UbunTux »
KDE neon
Uudempaa KDE:tä Ubuntulla

mgronber

  • Käyttäjä
  • Viestejä: 1458
    • Profiili
Koodia: [Valitse]
sudo apt-get install openssh-server --ignore-notifications tms  ;)

Miksi? Kyllä lähtökohta pitää olla se että asentaessa TIETÄÄ mitä tekee, jos ei tiedä niin sellaisella ei saa olla oikeuksia asentaa mitään!! Holhousyhteiskunta on jo riittävä "äiti" minulle, en tarvitse enkä halua muita holhoajia.
Näitä käyttäjiä täällä on useitakin, jotka asentavat kaikkea  samannäköistä pakettia, kun jokin ei toimi.  ::)


Luuletko tosiaan että tuollaisesta varoituksesta olisi näiden käyttäjien tapauksessa mitään hyötyä? He lukevat varoituksesta korkeintaan pari ensimmäistä sanaa ja viimeiset merkit joiden perusteella voi päätellä mitä pitää vastata jotta asennus menee eteenpäin.

Jos turvallisuutta halutaan tuossa suhteessa oikeasti parantaa niin silloin asennusvaiheessa pitäisi pelkästään asentaa ohjelma eikä sitä pitäisi automaattisesti lisätä käynnistyviin ohjelmiin vaan ylläpitäjän pitäisi tehdä se erikseen käsin. Tällöin ei mitään vahinkoa satu vaikka ohjelmiston asentaisikin vahingossa. Sen verran pitäisi ylläpitäjän joka tapauksessa osata tehdä ennen palvelimen asennusta. Bonuksena palvelimen asetustiedostossa voisi olla vielä rivi joka pitää käydä erikseen poistamassa jotta palvelin oikeasti käynnistyisi. Se ikään kuin varmistaisi että ylläpitäjä on käynyt lukemassa palvelimen asetustiedoston.