Mitä onko tämä huijausta?

[winu]

Minä tossa latailin ubuntun kun se on niin paljon tietoturvallisempi ja luotettavampi kuin Windows. Nyt olis pari kysymystä:

1. Mihin tää tietoturva väite perustuu? Mitä olen tutustunut tapaan miten linux lataa suoritettavat tiedostot muistiin niin ei kyllä siltä näytä. Esim linuxin käyttämät .dtors ja .ctors segmentit ja etenkin GOT (global offset table) mahdollistaa arbitrary dword overwrite haavoittuvuuksien hyväksikäytön niin että saadaan helposti aikaan koodin suorittamista. Joka on tietysti merkittävä vaara niin peruskäyttäjille että servuile. Windowsissahan tollanen on lähes mahdottomuus kun mittää funktiopointtereita ei säilytetä ennalta-arvattavissa osoitteissa. Tosin kyl toho linuxiinki joku (tosi) alkeellinen ASLR tuli kernelissä 2.6.12, joka ei ainakaan kata GOTia ja noita .dtorseja. No ei se mitää, mac os x tyypeillä menee linuxiakin huonommin.

Sitte on kans tääki pointti että linuxissa koodataan paljon C/C++:llä, jolloin noita kaikenlaisii haavoittuvuuksia pääsee softiin. Paitsi ehkä linux-tyypit koodaa niin hyvin ettei mitää aukkoja tuu... Tiedoksi että epäilempä vaan. Avoin lähdekoodikin sinällään helpottaa haavoittuvuuksien löytämistä kun verrataan softiin joissa ei oo lähdekoodia saatavilla, jolloin haavoittuvuuksia pitää ettiä disassemblerin ja debuggerin voimin. Joku vois sanoo että kun niitä aukkoja löydetään enemmän ja nopeemmin ja niitä paikataan nii se tekee järjestelmästä turvallisemman. Itse olen eri mieltä sillä alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan . Samoin, kun joku yksi sopiva skriptikersa löytää sen yhdenkin sopivan haavoittuvuuden niin se voi saada paljon pahaa aikaan.

Ja edellee, mä oon tilaillu rss feedin milw0rmilta niin linuxin kernelistä löydetää vakavia haavoittuvuuksia joka viikko, mikä syö kyllä paljon uskottavuutta. Pistän pari tähän todisteeksi (valitsin vain niitä pahimman näköisiä joita ei pitäis alunperinkään olla yhtään):

2009-08-18    Linux Kernel < 2.6.30.5 cfg80211 Remote Denial of Service Exploit
2009-08-14    Linux Kernel 2.x sock_sendpage() Local Ring0 Root Exploit
2009-08-05    Linux Kernel < 2.6.14.6 procfs Kernel Memory Disclosure Exploit
2009-07-17    Linux 2.6.30+/SELinux/RHEL5 Test Kernel Local Root Exploit 0day
2009-05-13    Linux Kernel 2.6.x ptrace_attach Local Privilege Escalation Exploit

Sit tää ei oo kysymys: vähä perunatuttaa ku ubuntu rikkoo aina mun äänet ku tulee joku päivitys -.-

edit//gdm otsikkoa.

[Lasse.]

Viestin pointti? Trollaus. Kiitos ja hyvästi minun puolestani.

[winu]

Viestin pointti? Trollaus. Kiitos ja hyvästi minun puolestani.

Viestin pointti? Epätoivoinen yritys kieltää ongelmat

[Lasse.]

Mitään ongelmia ei ole ollut minulla, enkä ole kuullut paljon olleen täälläkään. Haavoittuvuuksia on KAIKISSA järjestelmissä, eri asia miten vakavia ne ovat ja miten helppo niitä on hyödyntää. Se joka väittää että Linux on 100% turvallinen yms on todennäköisesti joku fanipojaksi lueteltava käyttäjä joka ei edes ymmärrä järjestelmästä mitään. Mikä sinun viestisi tarkoitus oli? Pelotella? Eikö se nyt ole kaikille selvää, ettei mikään järjestelmä ole aukoton?

[janne]

Minä tossa latailin ubuntun kun se on niin paljon tietoturvallisempi ja luotettavampi kuin Windows.

aha.

Mihin tää tietoturva väite perustuu?

siihen, että koodi on avointa, audiotoijia on paljon ja löydetyt aukot paikataan nopeasti.

Sitte on kans tääki pointti että linuxissa koodataan paljon C/C++:llä, jolloin noita kaikenlaisii haavoittuvuuksia pääsee softiin.

haavoittuvuuksia on softissa käytetystä ohjelmointikielestä riippumatta.

Joku vois sanoo että kun niitä aukkoja löydetään enemmän ja nopeemmin ja niitä paikataan nii se tekee järjestelmästä turvallisemman. Itse olen eri mieltä sillä alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan

krakkerit varmasti pitävätkin haavoittuvuudet omana tietonaan, mutta edelleenkään se ei muuta sitä tosiasiaa, että hakkerit löytävät ongelmia avoimesta koodista helpommin kuin suljetusta ja voivat tarjota niitä patcheja aukkojen paikkaamisksi. suljetussa koodissa voi hyvin olla jopa tiedossa olevia aukkoja joihin ei edes julkaista paikkoja tai paikkoja pantataan kun odotellaan jotain tietyin välein ilmestyvää patchiversiota. 

Samoin, kun joku yksi sopiva skriptikersa löytää sen yhdenkin sopivan haavoittuvuuden niin se voi saada paljon pahaa aikaan.

scriptikersat eivät löydä yksinään yhtään mitään, mutta saattavat kyllä löytää jonkun referenssitoteutuksen johonkin exploittiin. tällöin se on kyllä muidenkin tiedossa.

Ja edellee, mä oon tilaillu rss feedin milw0rmilta niin linuxin kernelistä löydetää vakavia haavoittuvuuksia joka viikko, mikä syö kyllä paljon uskottavuutta.

oletko siis sitä mieltä, että haavoittuvuuksia ei kannattaisi julkaista?

no, jos nyt ihan rehellisiä ollaan, niin kyllä minäkin pidän tätä ensimmäistä viestiä trollina ja verrattain huonona aloituksena foorumilla.

[Lasse.]

Offtopic mutta kohta varmaan brassaillaan jossain Windows-foorumilla miten Linux-yhteisöä ei kiinnosta ongelmat.  Totta puhuen tälle foorumille avautuminen ongelmista on melkeinpä yhtä tyhjän kanssa, kehittäjille se palaute, ei meille käyttäjille.

[Exitium]

Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.

Surullisenhupsua. "Heh heh".

[winu]

Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.

Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

oletko siis sitä mieltä, että haavoittuvuuksia ei kannattaisi julkaista?

Kannattaa

[Lasse.]

Et vieläkään vastannut mikä viestisi tarkoitus on? Täällä on 99% ihmisistä käyttäjiä jotka eivät tiedä mitään kehittämisestä, kannattaa nurista niille kehittäjille eikä meille. Oletko joku uusi Windowssin puolestapuhuja rhinon viereen vai?

[Tomin]

Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.

Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

Ja musta tuntuu ettet lukenut Jannen viestiä kokonaan...

Joku vois sanoo että kun niitä aukkoja löydetään enemmän ja nopeemmin ja niitä paikataan nii se tekee järjestelmästä turvallisemman. Itse olen eri mieltä sillä alamaailman hakkerit pitää haavoittuvuudet visusti omana tietonaan

krakkerit varmasti pitävätkin haavoittuvuudet omana tietonaan, mutta edelleenkään se ei muuta sitä tosiasiaa, että hakkerit löytävät ongelmia avoimesta koodista helpommin kuin suljetusta ja voivat tarjota niitä patcheja aukkojen paikkaamisksi. suljetussa koodissa voi hyvin olla jopa tiedossa olevia aukkoja joihin ei edes julkaista paikkoja tai paikkoja pantataan kun odotellaan jotain tietyin välein ilmestyvää patchiversiota. 

Muuten olen sitä mieltä, että Lasse.n viesteissä on järkeä eli ei täällä tuollaisesta tekstistä ole mitään (varauksella tietty) iloa.

[Taro Turtiainen]

Johan tuosta aloittajan nimimerkistä näkee mikä on miehiään.

Windows user

[Minna S]

Rhinon kavereita varmaan tai Rhino itse.

[jake]

Ja selkeä tosiasia: Kun Linuxista löytyy haavoittuvuus (joka myös korjataan sitten asap), niin sitä sitten hehkutetaan ja kyseenalaistetaan Linuxin turvallisuus. Windowsin haavoittuvuus on jo itsestäänselvyys.

Musta tuntuu että sä et nyt yhtään tiedä mistä sä puhut. Käytän nyt lähteenäni milw0rmia (muilta vastaavilta sivuilta löytyy pääpiirteittään samat exploitit) ja nyt kuluneena vuonna 2009 linuxin kernelistä on löytyny 7 local root tai local privilege escalation aukkoa. Windowsista vastaavia on löytyny 1 kpl (ja yhteensä 4 muuta jotka on local bsod/crash haavoittuvuuksia jotka on lähes yhtä tyhjän kanssa). Samoten tosta linuxista on juuri äskettäin löytyny tollanen remote denial of service exploit, jota ei voi jättää huomioimatta ku on toi jo nii rumaa. Linkkasinkin sen tossa aloituspostista

oletko siis sitä mieltä, että haavoittuvuuksia ei kannattaisi julkaista?

Kannattaa

mihinkähän windowsisiin mahtanet vertailuja tehdä?

xp, Vista vai 7?

[Taro Turtiainen]

Ja tällaisesta pitäisi vielä maksaa rahaa. Korjauspäivityksetkin ovat virheellisiä.

http://pcworld.about.com/od/windowsbugs/Microsoft-Backpedals-on-Window.htm

[Karvameduusa]

Exploiteja löytyy vaikka mistä ohjelmista ja peleistä niin sanottuja "ominaisuuksia". Tosin joskus löytyy aika hyödyttömiä exploitteja.
Muutamia esimerkkejä pelin exploiteista. Nuo palvelunesto exploitit on ikäviä käytetään usein serverin palveluiden kaatamiseen.

[~unknown]

Jotenkin tuntuu että tämäkin foorumi alkaa täyttyä trolleista... 

[Exitium]

Jotenkin tuntuu että tämäkin foorumi alkaa täyttyä trolleista... 

Don't feed the troll.

[Dost]

Roskiin!

[Sorkkarauta]

Väärä palsta -> suosittelisin kysymään developer -puolelta.

Tuossa vähän juttua turvallisuudesta
http://arstechnica.com/microsoft/news/2008/03/vista-second-os-to-fall-to-hackers-in-security-contest.ars

Loppukommenttina: "Nevertheless, Vista's fall on the last day left the Sony Vaio laptop running Ubuntu as the ultimate winner—Linux was the last OS left standing. "

Terv. Sorkkis

[asuspoju]

En tiedä miksi mutta toivon että haavoittuvuuksia juuri löytyisi ja ne korjattaisiin nopeasti. 
off/ winku on viettänyt 37 minuuttia foorumilla, joten oletan rhinoksi 
Tai no onko hänellä tuollaista asiantuntemusta kun puhuu jostain GOT systeemeistä. /off