The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Взлом Linux через подключение USB-устройства стал реальностью, opennews (ok), 08-Мрт-11, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


137. "Взлом Linux через подключение USB-устройства стал реальность..."  –6 +/
Сообщение от deadless (ok), 08-Мрт-11, 20:15 
даа зачетная такая дырень, слепить usb хреновину и по пути к своей циске  незаметно так воткнуть девайс в пару линупсовых сервачков самое оно.

и что характерно User294 по обычаю в таких темах не отписывается, павлинтус тихо молчит в тряпочку, а Мишу Шигорина ваще не видать. Где вы поборники БЫСТРОГО линукса? по?й на дыры, главное же быстро!

А учитывая последние тенденции разработчегов скрывать причины патчей, скоро можно ожидать разоблачения великого мифа линуксов как безопасных систем.

Ответить | Правка | Наверх | Cообщить модератору

150. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от botman (ok), 08-Мрт-11, 20:38 
> скоро можно ожидать разоблачения великого мифа линуксов как безопасных систем

вначале подождём пока ломающие драйвера появятся... а то что Линукс может работать даже на помойном аппаратном шлаке мы и без вас знаем

Ответить | Правка | Наверх | Cообщить модератору

151. "Взлом Linux через подключение USB-устройства стал реальность..."  +1 +/
Сообщение от klalafuda (?), 08-Мрт-11, 20:42 
> и что характерно User294 по обычаю в таких темах не отписывается, павлинтус тихо молчит в тряпочку, а Мишу Шигорина ваще не видать. Где вы поборники БЫСТРОГО линукса? по?й на дыры, главное же быстро!

Ващето сегодня, если конечно кто не заметил - 8е марта. Праздник типа на дворе. Что привязался к людям? Празднуют они. Как закончат - отпишутся. Хорошо если не с бодуна. Иначе пожалеешь, что вспомнил..

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

189. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от pavlinux (ok), 08-Мрт-11, 23:02 
>> и что характерно User294 по обычаю в таких темах не отписывается, павлинтус тихо молчит в тряпочку, а Мишу Шигорина ваще не видать. Где вы поборники БЫСТРОГО линукса? по?й на дыры, главное же быстро!
> Ващето сегодня, если конечно кто не заметил - 8е марта. Праздник типа
> на дворе. Что привязался к людям? Празднуют они. Как закончат -
> отпишутся. Хорошо если не с бодуна. Иначе пожалеешь, что вспомнил..

Да, поздравили с утра ещё %)
А вот часов с трех дня, наблюдаю за кипишем :) Главное из-за чего,
из-за strcpy(), который, помоему, второй в хит-параде косяков после

ptr = NULL;
...
if ( ptr->data )

---
Нате, пошуршите по ядру, откройте тучу strcpy()

# find . -name *.[ch] -exec sed '/strcpy/!d; /\");/d' {} \;

        strcpy(path2, path);
        strcpy(path2, path);
        strcpy(dst+len, args[i]);
        strcpy(ifr.ifr_name, ifname);
        strcpy((char*)ZERO_PGE, envval);
        strcpy(name, tmp);
        strcpy(boot_command_line, command_line);
        strcpy(command_line, boot_command_line);
        strcpy(cp2, cp1);
        strcpy(tag->u.cmdline.cmdline, params->commandline);
        strcpy((char *)ec->card_desc, incd.d.string);
        strcpy(buf, s);
        strcpy(pad->name, bpad->name);
        strcpy(options, omap_mux_options);
        strcpy(dst->muxnames[i], src->muxnames[i]);
        strcpy(dst->balls[i], src->balls[i]);
        strcpy(pdev_name2, pdev_name);
        strcpy(init_utsname()->machine, cris_machine_name);
        strcpy(command_line,CONFIG_KERNEL_COMMAND);
....

Пля, ломай не хочу :)

Ответить | Правка | Наверх | Cообщить модератору

198. "Взлом Linux через подключение USB-устройства стал реальность..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 09-Мрт-11, 00:46 
Я день выступлений проституток, импортированный кларой цеткин, не праздную и другим не советую.

А по заданному вопросу -- дырка и дырка, если у кого-то в типа trusted environment шатаются люди со своими девайсами и мимо камер их суют во включенные порты -- видимо, что-то недодумано.  Потому как с 1394 (которого на серверах пока не встречал вроде, правда) доступ к памяти хоста вообще является неотъемлемой фичей by design и никаким обновлением драйвера это не заткнуть, только отключением подсистемы.

Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

200. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от коксюзер (?), 09-Мрт-11, 01:06 
Тут новость об эксплуатации ошибки, а не фичи. А доступ к памяти в том же 1394 по умолчанию в линуксе всегда была отключён, в отличие от винды.
Ответить | Правка | Наверх | Cообщить модератору

235. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 09-Мрт-11, 11:51 
> Я день выступлений проституток, импортированный кларой цеткин, не праздную и другим не
> советую.

ну да клара цеткин проститутка, один шигорин дартаньян, угу, nucliht мне открыл глаза на то кто ты есть на самом деле, впрочем я и не сомневался...

> А по заданному вопросу -- дырка и дырка, если у кого-то в
> типа trusted environment шатаются люди со своими девайсами и мимо камер
> их суют во включенные порты -- видимо, что-то недодумано.  Потому
> как с 1394 (которого на серверах пока не встречал вроде, правда)
> доступ к памяти хоста вообще является неотъемлемой фичей by design и
> никаким обновлением драйвера это не заткнуть, только отключением подсистемы.

не юли, честно признай это дырень в линуксе, да в том самом линуксе на который всех денно и нощно агитируешь, рассказываешь всем что девелопить под другие ОС это %лядство, а девелопить в альте, в высшем обществе это королевская привелегия. Линукс стоит в сервере и солярка, или венда, или чпукс, этот факт никак не зависит от людей работающих в датацентрах. Ато получается если дырень в линуксе то значит нужно датацентр закрыть на замок, три слоя охраны и главное камер к каждому серваку натыкать. Как это у вас звучит? Если у вас что-то не работает то вам это не нужно.

Линукс дыряв by design иначе бы не появлялись все эти SE-Linux (который большинство сразу вырубает), hardened версии и прочее. Торвальдс никогда не ставил безопасность во главу угла, его всегда устраивал уровень качества и безопасности линукса, поэтому аппелировать вы можете только к вашему кормчему, а не рассказывать тут сказки про людей в серверных.

Ответить | Правка | К родителю #198 | Наверх | Cообщить модератору

257. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от коксюзер (?), 09-Мрт-11, 17:21 
> Линукс дыряв by design иначе бы не появлялись все эти SE-Linux (который
> большинство сразу вырубает), hardened версии и прочее. Торвальдс никогда не ставил

Как ярый пользователь Hardened Gentoo, подтверждаю. :)

> безопасность во главу угла, его всегда устраивал уровень качества и безопасности
> линукса, поэтому аппелировать вы можете только к вашему кормчему, а не
> рассказывать тут сказки про людей в серверных.

Всё так.

Ответить | Правка | Наверх | Cообщить модератору

306. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от Michael Shigorinemail (ok), 15-Апр-11, 11:25 
> nuclight

Прежде чем публично бросать тень на Вадима, подумайте о том, что неадекватность Вашего персонального восприятия может выйти ему боком.  А "открывать глаза" такому зоркому джо -- это, наверное, был тяжкий труд с учётом того, что я-то как раз пишу под своим именем и не скрываюсь.

> не юли, честно признай это дырень в линуксе, да в том самом линуксе

Это дырень в драйвере, который входит в комплект исходников ядра Linux и который может быть автоматически загружен, если был установлен на системе (плюс ещё ряд условий, часть которых можно подразумевать как обычно актуальные).  У меня на серверах с 2.6.18/32 модуля snd_usb_caiaq.ko не наблюдается.  Вы-то способны признать, что ляпнули от балды?

> Ато

Всё, по-русски писать не умеете -- следовательно, безграмотный; значит, и специалист бестолковый; отсюда нерелевантный спам в комментариях (да ещё и нецензурный); и что теперь -- расстреливать?

Там дырку заткнут, Вам пояснят про раздельное написание "а то" -- и жизнь продолжится, что характерно.

> получается если дырень в линуксе то значит нужно датацентр закрыть на замок,
> три слоя охраны и главное камер к каждому серваку натыкать. Как это у вас звучит?

(задумавшись) Похоже, проблемы с пониманием того, что физическая безопасность -- один из главных пунктов оценки ДЦ, и того, что от ОС может зависеть разве что время на вскрытие при наличии физического доступа.  Вы вообще в курсе, что такое датацентр?

> Линукс дыряв by design

Нет.

> иначе бы не появлялись все эти SE-Linux (который большинство сразу вырубает),
> hardened версии и прочее.

Тоже нет. (вот только не рассказывайте, что ездите на работу на БТР, а там стоит отключенный от сети опёнок на альфе -- не-ве-рю)

> Торвальдс никогда не ставил безопасность во главу угла

Это да.

> поэтому аппелировать вы можете

Надеюсь, за прошедший месяц Вы всё-таки проспались.

Ответить | Правка | К родителю #235 | Наверх | Cообщить модератору

190. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от Аноним (-), 08-Мрт-11, 23:03 
> даа зачетная такая дырень,

Сэр, поищите тут посты некоего paxuser, он доступно рассказывал у кого как с дырками. В частности он очень низкого мнения о freebsd, и на то у него были причины. А те у кого с секьюрити хорошо - почему-то малопригодны для практического использования.  

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

204. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от User294 (ok), 09-Мрт-11, 02:35 
> даа зачетная такая дырень,

Ну, расскажите тогда в какой системе таких дыреней нет и быть не может. Ну, наверное в MINIX какомнить, да? Там нет usb - нет и дыр в нем. Вариант. Для тех кому usb не нужен. Ну так это... можно и из линуха модули юсб вынести и запретить загрузку модулей на ходу. Хаксор обломается ничуть не меньше:)

> слепить usb хреновину

Да, процесс слепки - очевиден чтописец. Надо всего-то спаять собственную девайсину, прошить в нее собственную фирмвару, спасибо если не скурив еще половину немеряного талмуда спеков юсб, и вот тогда... тогда вы сможете при физическом доступе заюзать дырку. Которую заткнули в феврале, да :). Есть такое подозрение что пока вы сподобитесь - приедет апдейт, и... :)

> и по пути к своей циске  незаметно так воткнуть девайс в пару линупсовых
> сервачков самое оно.

А есть уверенность что в остальных системах похожих ляпов нет? На самом деле проблема тут в том что современное железо - сложное. Вы вообще спеки USB видели? Это такой крутейший талмуд. Вы верите в возможность его реализации без багов? :)

> и что характерно User294 по обычаю в таких темах не отписывается,

Ну, отписался. А ты какую систему как образец секурности предлагаешь? OpenBSD? В которой нет поддержки уймы железа и с многопроцессорностью проблемы? Minix который вообще нифига не умеет? Или чего? Из реалистичных вариантов?

> павлинтус тихо молчит в тряпочку, а Мишу Шигорина ваще не видать. Где
> вы поборники БЫСТРОГО линукса? по?й на дыры, главное же быстро!

Ну так дыры там запатчат быстрее чем вы успеете спаять и запрограмить железку для поимения, имхо. А потом как-бы уже и поздно :). Кстати, при физическом доступе к машине когда я могу кастомный девайс в юсб впихнуть - я могу и загрузиться с своей флехи, вероятно. После чего я получу полные права в совершенно любой системе :)

> А учитывая последние тенденции разработчегов скрывать причины патчей, скоро можно ожидать
> разоблачения великого мифа линуксов как безопасных систем.

Ну тут некий товарисч paxuser или как там его правильно помнится крепко наподдал и FreeBSD в этом плане. А остальные как-то и не развиваются почти. Не, можно юзать minix какойнить. Если он конечно у вас вообще загрузиться сможет на реальном железе, а не где-то у академиков в виртуалочке. А юсб девайсы... нет фичи - нет проблем? Ну с таким подходом и линуховое ядро - типа секурно: выносите все лишние подсистемы, запрещаете загрузку модулей. Враг не пройдет :).

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

236. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 09-Мрт-11, 12:14 
> Ну, расскажите тогда в какой системе таких дыреней нет и быть не
> может. Ну, наверное в MINIX какомнить, да? Там нет usb -
> нет и дыр в нем. Вариант. Для тех кому usb не
> нужен. Ну так это... можно и из линуха модули юсб вынести
> и запретить загрузку модулей на ходу. Хаксор обломается ничуть не меньше:)

Слишком много если.

> Да, процесс слепки - очевиден чтописец. Надо всего-то спаять собственную девайсину, прошить
> в нее собственную фирмвару, спасибо если не скурив еще половину немеряного
> талмуда спеков юсб, и вот тогда... тогда вы сможете при физическом
> доступе заюзать дырку. Которую заткнули в феврале, да :). Есть такое
> подозрение что пока вы сподобитесь - приедет апдейт, и... :)

все сказанное выше отменяет дырень? И таки да, ковырял я юсб девайсины и дрова под них писал, ничего там страшного нет, если есть платка на атмеге, то вообще все собирается за пару часов. у нас 4-х моторный квадролёт пацаны из китайского танка за выходные собрали, со всеми сборками ядер, прошивками.. ничо там сложного с usb нету.

> А есть уверенность что в остальных системах похожих ляпов нет? На самом
> деле проблема тут в том что современное железо - сложное. Вы
> вообще спеки USB видели? Это такой крутейший талмуд. Вы верите в
> возможность его реализации без багов? :)

в OpenBSD ляпов секурного плана горааааздо меньше, что-то я не припоминаю, чтоб еженедельно проблемы безопасности находили в опёнке.

> Ну, отписался. А ты какую систему как образец секурности предлагаешь? OpenBSD? В
> которой нет поддержки уймы железа и с многопроцессорностью проблемы? Minix который
> вообще нифига не умеет? Или чего? Из реалистичных вариантов?

ну та поддержка которая есть в openbsd меня устраивает, железо работает, рэйды поддерживаются, извините юсб-саундкарты я в сервера не втыкаю, ибо на хэ не надо. Да и вообще я не уверен что ты смог бы поставить и настроить опёнка, на одном из этапов наверняка бы сломался, оплевался и поставил гламурный линукс

> Ну так дыры там запатчат быстрее чем вы успеете спаять и запрограмить
> железку для поимения, имхо. А потом как-бы уже и поздно :).
> Кстати, при физическом доступе к машине когда я могу кастомный девайс
> в юсб впихнуть - я могу и загрузиться с своей флехи,
> вероятно. После чего я получу полные права в совершенно любой системе
> :)

перезагрузка сервера сразу вызовет тревогу в нормальном датацентре, мониторинг сейчас даже самые ленивые луноходы ставят. Ну и кстате на пошифрованных разделах перезагрузка с usb не особо поможет. Да таковых мало, но если брать mission critical типа банков, то там во первых стоят hp-ux по 64 камня, а во вторых ты его и перегрузить не сможешь, ибо даже не знаешь как :)

> Ну тут некий товарисч paxuser или как там его правильно помнится крепко
> наподдал и FreeBSD в этом плане. А остальные как-то и не

ля-ля не надо, всегда когда приезжает апдейт все чотко написано вплоть до diff, кто-то чота там рассказывал... мне про линукс тоже всякую муйню рассказывают, это же не отменяет свою голову на плечах.

> развиваются почти. Не, можно юзать minix какойнить. Если он конечно у
> вас вообще загрузиться сможет на реальном железе, а не где-то у
> академиков в виртуалочке. А юсб девайсы... нет фичи - нет проблем?
> Ну с таким подходом и линуховое ядро - типа секурно: выносите
> все лишние подсистемы, запрещаете загрузку модулей. Враг не пройдет :).

У FreeBSD как и у OpenBSD проблемы с драйверами это протухшая новость 2003 года. Еще раз, на тачке с которой я пишу стоит FreeBSD, все железо работает. 2х интерфейсные интеловые igb, видяха от nvidia, звучки аж две набортная, и кривотивная, всякие проводочки аля usb -> serial, всякие usb -> ethrnet погремушки, wi-fi пашет опятьже... все пашет из коробки, без траха с ядрами. Так что опять мимо... А вот линуксовое ядро в том то и дело "типа секурно". Все делают вид что линукс не пробиваем, но сравнивают почему-то всегда с вендой, да на уровне венды действитльно там сказка, хотябы вирусов нет, но сравнивая с OpenBSD, это просто слёзы..

Ответить | Правка | Наверх | Cообщить модератору

241. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от crypt (??), 09-Мрт-11, 13:45 
> в OpenBSD ляпов секурного плана горааааздо меньше, что-то я не припоминаю, чтоб
> еженедельно проблемы безопасности находили в опёнке.

User-friendly
Secure
Functional

Pick any two...

Ответить | Правка | Наверх | Cообщить модератору

278. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от User294 (ok), 09-Мрт-11, 22:34 
> Слишком много если.

Ну, количество "если" потребное для успешного взлома линуха через этот баг не мешает некоторым троллить как я смотрю. А тут вдруг вас "если" засмущали. Странно :)

> все сказанное выше отменяет дырень?

Нет, не отменяет. Но ее реальная серьезность - почти на уровне плинтуса. Ну сломает пара десятков гиков свой локалхост. И? А товарисчи типа HBGarry - это наполеоны современные, судя по сочетанию почти нереальных задумок и планов с громкими эпикфейлами, когда "спецы по безопасности" сами сообщают пароль от ссш и открывают фаервол совершенно посторонним анонимусам :).Чисто технически им было бы сложно реализовать даже 1/3 от того что они там задумали, а уж с помощью анонимусов они могут вообще сушить весла, т.к. наполеоновские планы были спалены и видимо успешно провалятся :)

> И таки да, ковырял я юсб девайсины и дрова под них писал, ничего там страшного
> нет, если есть платка на атмеге, то вообще все собирается за пару часов.

Не, ну понятно что было бы желание да скиллы... только пару часов мне кажется излишне оптимистчным вариантом, в любом случае это далеко не стандартная флеха которую пошел да купил, да и врядли дыра долго протянет, особенно после такого пиара :).

> у нас 4-х моторный квадролёт пацаны из китайского танка за выходные собрали,

Сурово, а логику стабилизации по акселерометрам, управление моторами и прочая - сами писали, или просто готовое влили? А то за выходные самим такую логику наваять - больно круто как-то. А влить готовое ума особо не требует. Да и квадролет - забавная конструкция. Как раз тем что никаких особых требований не выдвигает ни к чему. Конструкция механически довольно проста, и в общем то не капризна, а весь гемор по стабилизации аппарата и управлению - вынесен на набортный софт ну и его юзверя :).  

> со всеми сборками ядер, прошивками.. ничо там сложного с usb нету.

А они что, на основе линуха его делали? Или что за ядра они там собирали? oO

> в OpenBSD ляпов секурного плана горааааздо меньше,

Ну так и используется она гораздо меньше и может гораздо меньше. А если бы ее юзали как линух - наверное и баги бы находили в приличном количестве. Хотя и в меньшем количестве наверное, т.к. ряд софта у них достаточно минималистичен, что явно на пользу отсутствию багов в нем (например openntpd явно меньше по размеру чем ISCшный, у кого меньше багов - несложно догадаться, да).

> что-то я не припоминаю, чтоб еженедельно проблемы безопасности находили в опёнке.

Ага, зато я припоминаю что там плохо с многопроцессорностью и вообще развитием в последнее время. Понятное дело что укрепленный бункер на глубине несколько сотен метров - защищает даже от ядерного взрыва или падения метеорита, только постоянно в нем отсиживаться - на любителя.

>> вообще нифига не умеет? Или чего? Из реалистичных вариантов?
> ну та поддержка которая есть в openbsd меня устраивает, железо работает, рэйды
> поддерживаются,

Угу, только насколько я помню, там многие подсистемы не ахтецки работают на многопроцессорном железе. Это когда многоядерные процы пхают чуть ли не в телефоны, не говоря уж о серверах.

> извините юсб-саундкарты я в сервера не втыкаю, ибо на хэ не надо.

В моем понимании - если уж волнует секурити, то позапрещать лишние модули/протоколы/юзать минимум программ и прочая - is a must :). Юсб вообще слишком дофига всего может, поэтому по хорошему в биосе порубать нафиг и пароль на вход в биос воткнуть, если не планируется юзать юсб-девайсы. Правда эта гребаная проприетара - достаточно халтурна и пароль на биос обычно весьма халтурненько сделан и легко сбрасывается. Ну в общем если хаксор может до вашего сервака физически дорваться - ничего хорошего ожидать не приходится особо.

> Да и вообще я не уверен что ты смог бы поставить и настроить опёнка,
> на одном из этапов наверняка бы сломался, оплевался и поставил гламурный линукс

У меня нет самоцели погеморроиться по максимуму чтобы доказать кому-то что-то. У меня есть некие задачи/хотелки, я хочу с ними разобраться, логично что я хочу достичь целей с минимальными затратами усилий (геморрой как самоцель - странный goal). "Гламурный" линукс неплохо с этим справляется. А понтоваться операционкой - одна из наиболее глупых затей которые я видел. Остается только вопрос: а нахрена мне порция геморроя на ровном месте? Например, если защищаться от сетевых атак - есть ли у вас уверенность что виртуалка с минимальной системой-пингвином в ней, с минимумом модулей и софта - более дырява? А от физического доступа защищаться... эээ от кувалдометра у недруга так просто не защитишься. А у банкоматов, автоматов оплаты и прочих бронированных систем, где от физического доступа более-менее защищаются я что-то не видел доступных всем юсб-разъемов, для начала. Ну и как их ломать через юсб? Также я плохо представляю себе вирус, который потребует от юзера не просто флеху, а спецдевайс, что зарубает идею самоходности такого ПО :). В итоге думается десяток гиков сломает локалхост :). А диверсант в датацентре или около компа - всяко свое поимеет, так или иначе. Читайте вон у дихалта как он специально подготовленной мышкой файлы с станка упер, дело было под виндой, но там в принципе прокатила бы и любая иная ос способная работать с флешками :)

>> Кстати, при физическом доступе к машине когда я могу кастомный девайс
>> в юсб впихнуть - я могу и загрузиться с своей флехи,
>> вероятно. После чего я получу полные права в совершенно любой системе :)
> перезагрузка сервера сразу вызовет тревогу в нормальном датацентре, мониторинг сейчас
> даже самые ленивые луноходы ставят.

Ленивые все-таки не ставят :). Хотя действо безусловно более заметное, да :).Но даунтаймы или проблемы роутинга так или иначе иногда случаются у всех. Если на каждый глюк маршрутов продолжающийся 10 минут извергать кирпичи и звонить в датацентр - вы очень скоро поседеете и захотите на пенсию...

> Ну и кстате на пошифрованных разделах перезагрузка с usb не особо поможет.
> Да таковых мало, но если брать mission critical типа банков,

Если брать например типичный банкомат - я что-то не вижу там юсб разъема вообще, для начала. Он, наверное, где-то есть, но думается мне что для доступа к нему надо совершать какие-то очень подозрительные действия и довольно долго, полисмены воспримут эти попытки крайне отрицательно :). А если банк позволяет гулять в своих процессинговых центрах кому попало с флешками или там как еще - блин, ну и кто им доктор?

> то там во первых стоят hp-ux по 64 камня, а во вторых ты его и перегрузить не
> сможешь, ибо даже не знаешь как :)

Для начала, я сильно удивлюсь если смогу невозбранно разгуливать там с флехой и имея подозрительные намерения :). Такой банк просто напрашивается чтобы его расхакали нафиг :)

>> наподдал и FreeBSD в этом плане. А остальные как-то и не
> ля-ля не надо, всегда когда приезжает апдейт все чотко написано вплоть до diff,

Да при чем тут диффы? В случае git у меня просто "по дефолту" вся истоирия коммитов есть, елки. А paxuser про другое совсем. Профайл оного: https://www.opennet.ru/~paxuser а некоторые моменты относительно его точек зрения можно найти например примерно тут: https://www.opennet.ru/openforum/vsluhforumID3/71986.html?n=p...

И у него есть крупный плюс: он явно интересуется предметом и может внятно аргументировать свою точку зрения. Фрибсд он раздал по самые небалуйся, при том достаточно убедительно и я не видел чтобы бсдуны умудрились внятно ему что-то возразить на его аргументацию. Он кстати и ряду линухов раздал вполне себе чувствительно, и не то чтобы без причин :). И да, если долбит паранойя - любимый этим товарисчем PaX выглядит довольно интересно :)

> кто-то чота там рассказывал... мне про линукс тоже всякую муйню
> рассказывают, это же не отменяет свою голову на плечах.

А упомянутый товарисч явно обладает своей головой на плечах и интересуется секурити.

>> Ну с таким подходом и линуховое ядро - типа секурно: выносите
>> все лишние подсистемы, запрещаете загрузку модулей. Враг не пройдет :).
> У FreeBSD как и у OpenBSD проблемы с драйверами это протухшая новость 2003 года.

Угу, конечно, особенно заметно на ноутбуках например :). На эмбеддовке они вообще почти не представлены. И даже юсб-звуковуха имеет право на жизнь. Не на сервере так в составе сетевого медиа-центра, мля.

> Еще раз, на тачке с которой я пишу стоит FreeBSD, все железо работает.
> 2х интерфейсные интеловые igb, видяха от nvidia,

Ага. Запустите эту вашу фрю на новомодной тегре от нвидия. А что, видеокарта там от нвидии, а то что она на 1 чипе с армовским ядром - ну да. И что? А чем арм хуже остальных как проц? Команды выполняет, даже довольно резво для своего мизерного потребления - камень на гигагерц с гаком, работающий не то что без кулера а даже без радиатора толком - это нехило, а? :)

> звучки аж две набортная, и кривотивная,

У меня аж три :) еще и видеокарта с HDMI оказывается котируется как звуоковуха. Сижу я и думаю: вот нахрена б мне 3 звуковухи, а? :))

> всякие проводочки аля usb -> serial,

У меня наверняка найдется парочка подленьких экземпляров :)).И кстати как там libusb у вас поживает? А то там до сих пор написано что бета-версия, некоторые вызовы не реализованы, бла-бла. Зато под расово верной лицензией. Бздуны такие бздуны :)

> всякие usb -> ethrnet погремушки, wi-fi пашет опятьже... все пашет из коробки,

Даже .n вайфай? И на каких чипаках? Атерос? Броадком? Ралинк? Интель? Кого я еще забыл? :)

> без траха с ядрами. Так что опять мимо... А вот линуксовое ядро в том то
> и дело "типа секурно". Все делают вид что линукс не пробиваем,
> но сравнивают почему-то всегда с вендой,

Специально для таких как вы paxuser неслабо прошелся по разным ядрам, вариантам укрепления оных и прочая. Почитайте, весьма познавательно :)

> но сравнивая с OpenBSD, это просто слёзы..

Ага, с опенбсд слезы будут по другому поводу, когда не заработает любимая железка, нет нормальной современной файловой системы, паршиво поддерживается многопроцессорное железо, etc. И если фря еще более-менее активировалась и взамен там баги гребут лопатой ("не ошибается тот кто ничего не делает") то опенок... ну в общем он весьма на любителя с такими темпами развития. Следующим шагом после установки опенка должен быть переезд в укрепленный подземный бункер. На всякий случай. А то что неудобно и ограничений много - ну извините, юзерам оного к геморрою все-равно не привыкать :)

Ответить | Правка | К родителю #236 | Наверх | Cообщить модератору

279. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 09-Мрт-11, 23:02 
спасибо юзер, день сегодня и так офигенный, солнышнко и все такое, и ты в очередной раз поднял настроение. :)) Респект и уважуха за своебразное чувство юмора. :)) Ссылки на пакса, почитаю как будет в следующий раз оказия с некоторым количеством свободного времени, чет как то не замечал его раньше.
Ну и вобщем фигли спорить, все равно каждый останется на своём мнении, да вертолет собрали на линуксе, я им с бутстрапом децл помог, есть опыт в ковырянии всякого разного типа шыта типа wl500g, перепиливал ихние прошивки, и таки да в то время сидел на бубунте, плевался но сидел, ибо также не ищу геморой на свою %опу, теперь работа преимущественно с фрёй, потому сижу на фре, но сервера мантейню и фрёвые и рхеловые и федоровые и форточные, со всех бабло капает, что характерно практически одинаково :) есть маза пересеть на соляру, должен подвалить новый проект..

ЗЫ: не напрягайся :) писать уже нету больше сил, завтра ж на работу (с)

Ответить | Правка | Наверх | Cообщить модератору

292. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 10-Мрт-11, 23:53 
почитал я пакса твоего, на мое имхо просто больной причем на всю голову, либо работает в какойто сильно противозаконной сфере, мож 7й отдел реально за ним охотится и он очкуэ, что его поимеют через HeloWorld?

Как извесно техники аля dep и aslr далеко не гарантия от взлома, усложняет да, но обходятся таки. Да и вообще если уж рассказывать правду, то рассказывать надо всю, а не выборочно. http://www.slideshare.net/sciosecurity/linux-kernel-exploita.... График особо показателен, и нае%%алово от торвальства 6 лет назад что типа вот теперь то linux officially bug free. Ога, буг фри, два раза. А так получается опять у Тео Nih синдром, у FreeBSD core team вообще руки не из того места, и только один Фюрер ибн Торльвадс весь в белом. Да и вообще если такие умные чо ж строем то не ходите? Где ваше супермега ядро на ерланге? или на эрланг можно только подр..W^X то есть слюни пускать?..

Количество дыр в линуксе измеряется сотнями, в то время как количество дыр в FreeBSD измеряется в лучшем случае десяками. Говорить о том что гипотетически яро FreeBSD более уязвимо чем Linux при всем том количестве обнаруживаемых дыр может только paxuser -> больной на всю голову. Походу без hardened ядра действительно некузяво.

С другой стороны все в этом мире относительно, я знаю два хоста на венде 2008 торчащие в инет без антивируса, сайты на iis крутятся, больше двух лет полёт нормальный. Знаю линукс торчащий в инет - LAMP обычный на бубунто-сервере только без фаера. И тоже пашет без взломов. Про остальные даже не говорю. И что? А ничего, если комп нафиг никому не нужнен, то даже винда может стоять 2 года и работать, линукс может торчать в инет без фаера, также нафиг никому не нужный. А вот если у тебя нехитрый "набор кардера" или "хитрый план терориста" тогда да, тебе есть чего опасаться даже с отключенным от инета компом, и hardened ядро со строительной пеной в jопе становитя очень быстро vulnerable. По мне так лучше спокойно ночью спать, чем в ужасе просыпаться от очередной zero-day уязвимости. Как-то так.

Ответить | Правка | К родителю #278 | Наверх | Cообщить модератору

293. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от paxuser (ok), 11-Мрт-11, 00:58 
> почитал я пакса твоего, на мое имхо просто больной причем на всю

А я здесь и всё вижу. ;)

> один Фюрер ибн Торльвадс весь в белом. Да и вообще если

По диагонали вы меня почитали-то, любезный.

Ответить | Правка | Наверх | Cообщить модератору

294. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от iZEN (ok), 11-Мрт-11, 01:18 
>> почитал я пакса твоего, на мое имхо просто больной причем на всю
> По диагонали вы меня почитали-то, любезный.

Я тоже тебя почитал. Ты больной на голову параноик. Лучше иди читай Криса Касперски в "Системном администраторе", он правильную мысль проводит: неуязвимых систем не бывает, и даже процессоры не защищены от ошибок выполнения.

Ответить | Правка | Наверх | Cообщить модератору

295. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от paxuser (ok), 11-Мрт-11, 01:48 
> Я тоже тебя почитал. Ты больной на голову параноик. Лучше иди читай

И тоже по диагонали, с тем же результатом.

> Криса Касперски в "Системном администраторе", он правильную мысль проводит: неуязвимых
> систем не бывает, и даже процессоры не защищены от ошибок выполнения.

Касперски не эксперт, мысль эта не его, и я её разделяю.

Ответить | Правка | Наверх | Cообщить модератору

296. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от paxuser (ok), 11-Мрт-11, 09:11 
> Как извесно техники аля dep и aslr далеко не гарантия от взлома,
> усложняет да, но обходятся таки. Да и вообще если уж рассказывать
> правду, то рассказывать надо всю, а не выборочно. http://www.slideshare.net/sciosecurity/linux-kernel-exploita....

Бтв, что-то я в вашем надрывном потоке сознания не досчитался некоторой доли этой "всей правды". Ну я процитирую, да.

> • Administrators
>
> – Distros are conservative, poke them!
> – Lots of hardening you can do on your own
> – grsecurity / PaX / KERNHEAP patchsets [26,14]
> – Most importantly, support/sponsor these guys for
>   their hard work

Тут афтар просто вас не спросил про безопасность FreeBSD, "количество дыр" и паранойю.

> • Message is not: “Don't use Linux, it's insecure, lolz!”

Message is: “Don't use Linux, it's insecure, lolz, use FreeBSD!” Очевидно же. ;)

> • Security is not measured in absolutes
>   – Risk management → uncertainty management

Такой х%нёй страдают только больные на голову параноики.

> Or, more concisely:
> “Now you know, and knowing is half the battle!” -- GI JOE

Фигню сказал, очевидно же.

> График особо показателен, и нае%%алово от торвальства 6 лет назад что

Да график вообще самый главный в презентации, чо уж там. :)

> лучше спокойно ночью спать, чем в ужасе просыпаться от очередной zero-day
> уязвимости. Как-то так.

Меньше знаешь - лучше спишь, ога.

Ответить | Правка | К родителю #292 | Наверх | Cообщить модератору

297. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 11-Мрт-11, 09:41 
> Бтв, что-то я в вашем надрывном потоке сознания не досчитался некоторой доли
> этой "всей правды". Ну я процитирую, да.

Ну и какой главный вывод? В том что фря сосёт, а линукс рулит?

>> • Administrators
>>
>> – Distros are conservative, poke them!
>> – Lots of hardening you can do on your own
>> – grsecurity / PaX / KERNHEAP patchsets [26,14]
>> – Most importantly, support/sponsor these guys for
>>   their hard work
> Тут афтар просто вас не спросил про безопасность FreeBSD, "количество дыр" и
> паранойю.

Таки да, в FreeBSD тоже есть дыры, но я утрверждал лиш то что их количество по сравнению с линуксом гораздо меньше. Еще раз _количество найденых дыр_, давайте уже признаем это. _Простую_ логику здесь видите? Нет?

Ок, вывод - патчить фрю мне приходится гораздо реже, в security@ _сразу_ приезжает описание с дырой, и что надо сделать. И еще момент в линуксах вам говорят тут вот у нас новое ядро вышло, срочно обновитесь, без раскрытия причин.

>> • Message is not: “Don't use Linux, it's insecure, lolz!”
> Message is: “Don't use Linux, it's insecure, lolz, use FreeBSD!” Очевидно же.
> ;)

Очевидно другое - линукс дыряв как минимум не меньше чем FreeBSD и утверждать то что линукс типа православен и тамошний Фюрер, конечно Фюрер, но белый и пушистый да.

>> • Security is not measured in absolutes
>>   – Risk management → uncertainty management
> Такой х%нёй страдают только больные на голову параноики.

Ога... фигле..

>> Or, more concisely:
>> “Now you know, and knowing is half the battle!” -- GI JOE
> Фигню сказал, очевидно же.

Да вообще вся презентация фигня полная, чего уж там.

>> График особо показателен, и нае%%алово от торвальства 6 лет назад что
> Да график вообще самый главный в презентации, чо уж там. :)

Ну а по сути то что? Выводы хоть какие-то есть? Или...

>> лучше спокойно ночью спать, чем в ужасе просыпаться от очередной zero-day
>> уязвимости. Как-то так.
> Меньше знаешь - лучше спишь, ога.

1. Мои системы достаточно защищены, защита применяется как пассивная так и активная, там где это надо, в локальном DC в комплексе используются технологии от Cisco, OpenBSD, FreeBSD и частично как это не увидительно - линукс, использую тот же CentOS.
2. Количество security officer там где это надо больше одного, ибо один даже больной на всю голову линуксоид с перехарденед ядром так или иначе человек.
3. Бизнес абсолютно чист и легален, бухгалтерия, используемый софт всё честно купленное и белое.

Ну и последнее дома вот именно с той машины с которой я пишу, у меня FreeBSD да, очевидно IP адрес вы уже знаете, сплойт у вас тоже есть, ломайте, я жду.

Ответить | Правка | Наверх | Cообщить модератору

298. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от paxuser (ok), 11-Мрт-11, 10:51 
> Ну и какой главный вывод? В том что фря сосёт, а линукс
> рулит?

Да, такой главный вывод. Написано же прямым текстом: фря сосёт. Вот тут:

>>> – Lots of hardening you can do on your own
>>> – grsecurity / PaX / KERNHEAP patchsets [26,14]
> Таки да, в FreeBSD тоже есть дыры, но я утрверждал лиш то
> что их количество по сравнению с линуксом гораздо меньше. Еще раз
> _количество найденых дыр_, давайте уже признаем это. _Простую_ логику здесь видите?
> Нет?

Афтар перечислил patchsets, с которыми значительно возрастает сложность эксплуатации любой из этих "найденных дыр", либо все последствия сводится к DoS в худшем случае. А во FreeBSD из всех средств защиты ядра - недавно добавленный запрет на маппинги по нулевому адресу. Поэтому к DoS там сводятся только обращения по нулевому указателю. Эксплуатации остальных классов уязвимостей ничто не мешает. И это при том, что юзерленд практически не защищён.

> Ок, вывод - патчить фрю мне приходится гораздо реже, в security@ _сразу_
> приезжает описание с дырой, и что надо сделать. И еще момент

Это хорошо. Только вы не понимаете, что ваши патчи защищают от взлома через публично известные дырки, реактивно. А те patchsets - от целых классов, проактивно.

> в линуксах вам говорят тут вот у нас новое ядро вышло,
> срочно обновитесь, без раскрытия причин.

Я уже высказывал своё недовольство по этому поводу. Уже писал, что из-за Торвальдса в линуксе бардак с безопасностью. И что код во FreeBSD более качественный и стабильный. А вы продолжайте читать по диагонали.

> Очевидно другое - линукс дыряв как минимум не меньше чем FreeBSD и

Очевидно, действительно, другое.

> утверждать то что линукс типа православен и тамошний Фюрер, конечно Фюрер,
> но белый и пушистый да.

На самом деле седой и волосатый. Хотя если по диагонали посмотреть...

> Ну а по сути то что? Выводы хоть какие-то есть? Или...

Есть. Вы просто не умеете их внимательно читать.

> 1. Мои системы достаточно защищены, защита применяется как пассивная так и активная,
> там где это надо, в локальном DC в комплексе используются технологии
> от Cisco, OpenBSD, FreeBSD и частично как это не увидительно -
> линукс, использую тот же CentOS.
> 2. Количество security officer там где это надо больше одного, ибо один

Вы что-то конкретное рассказать можете, пример какой-нибудь, технологии, методы? Чем офицеры заняты?

> Ну и последнее дома вот именно с той машины с которой я
> пишу, у меня FreeBSD да, очевидно IP адрес вы уже знаете,
> сплойт у вас тоже есть, ломайте, я жду.

Судя по тону и весу аргументации, я с этим завязал ещё до того, как вы в 5-ый класс пошли.

Ответить | Правка | Наверх | Cообщить модератору

302. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от deadless (ok), 11-Мрт-11, 23:03 
> Да, такой главный вывод. Написано же прямым текстом: фря сосёт. Вот тут:
>>>> – Lots of hardening you can do on your own
>>>> – grsecurity / PaX / KERNHEAP patchsets [26,14]

Я уже читал что MAC вы считаете лишь помощником руткитерам, а подсистему Audit вообще лишенной смысла. Ваше право, считайте. Я же считаю что в Линуксах просто необходимы вышеприведенные техники защиты. В первую очередь потому, что проще оказалось изобрести имено эти системы нежели в общем следить за качеством кода. Эдакий выстрел из пушки по воробьям. С другой стороны я так понимаю вы готовы поставить на то, что с исользованием данных техник ваш линукс перестал быть уязвимым априори? grsecurity / PaX / KERNHEAP patchsets все это bug free?

> Афтар перечислил patchsets, с которыми значительно возрастает сложность эксплуатации
> любой из этих "найденных дыр", либо все последствия сводится к DoS
> в худшем случае. А во FreeBSD из всех средств защиты ядра
> - недавно добавленный запрет на маппинги по нулевому адресу. Поэтому к
> DoS там сводятся только обращения по нулевому указателю. Эксплуатации остальных классов
> уязвимостей ничто не мешает. И это при том, что юзерленд практически
> не защищён.

Патчесеты стоит заметить не в mainline. Во FreBSD есть поддержка DEP, MAC, AUDIT, есть _securelevel >=2 в конце концов, и в целом более качественный код. Заметь у меня нет задачи заставить вас использовать FreeBSD, Боже упаси. Мне вообще до лампочки что у вас используется. Мое мнение такое фря развивается на жалкие 300 тысяч в год, при этом уровень безопасности системы достаточно высок, количество vulns относительно небольшое. Наличие MAC и AUDIT позволяют поднять уровень безопасности.

>> Ок, вывод - патчить фрю мне приходится гораздо реже, в security@ _сразу_
>> приезжает описание с дырой, и что надо сделать. И еще момент
> Это хорошо. Только вы не понимаете, что ваши патчи защищают от взлома
> через публично известные дырки, реактивно. А те patchsets - от целых
> классов, проактивно.

Соглашусь, но и эти патчсеты можно обойти. Да со всеми фишками аля PaX, grsec., patchsets, линукс безусловно надежнее. Но не кажется ли вам что нужно лечить болезнь, а не ее симптомы. Учитывая что в линукс вкладываются чуть ли не миллиарды денег, Торвальдс отрицает наличие проблемы с безопасностью как таковой.

> Я уже высказывал своё недовольство по этому поводу. Уже писал, что из-за
> Торвальдса в линуксе бардак с безопасностью. И что код во FreeBSD
> более качественный и стабильный. А вы продолжайте читать по диагонали.

Да читал я все, однако заметил огромную предвзятость, поэтому и ответил в том же ключе.

>> утверждать то что линукс типа православен и тамошний Фюрер, конечно Фюрер,
>> но белый и пушистый да.
> На самом деле седой и волосатый. Хотя если по диагонали посмотреть...

Слова Фюрера о том что его полностью устраивает текущее качество кода и полное отрицание проблем с безопасностью наводит знаете на мысли. Если человек _верит_ в то, что плод его творчества не требует работы над качеством и безопасностью при этом продолжает обрабатывать патчи на скорости граничащей со здравым смыслом, у меня это как минимум вызовет вопросы. Безопасным такой подход назвать никак нельзя.

>> Ну а по сути то что? Выводы хоть какие-то есть? Или...
> Есть. Вы просто не умеете их внимательно читать.

Да уже просто стебусь на самом деле.

>> 1. Мои системы достаточно защищены, защита применяется как пассивная так и активная,
>> там где это надо, в локальном DC в комплексе используются технологии
>> от Cisco, OpenBSD, FreeBSD и частично как это не увидительно -
>> линукс, использую тот же CentOS.
>> 2. Количество security officer там где это надо больше одного, ибо один
> Вы что-то конкретное рассказать можете, пример какой-нибудь, технологии, методы? Чем офицеры
> заняты?

Да вобщем-то ничего особенного, утомительно все перечислять. Эти люди _верят_ в то, что основная угроза безопасности исходит не снаружи, а изнутри сети. В паблике крутится 3 сайта, все три сайта, вместе с движком изначально были переданы на аудит безопасности сторонней конторе, контора подтвердила высокий статус безопасности. Sec. officers занимаются в частности тем, что обрабатывают все нештатные попытки эскалации привилегий. Просматривают все файлы которые юзера копируют на флешки или с нее. Делать это можно только на _одной_ выделенной машине. Включение инета юзеру автоматически отключает его от локалки, и включает полный мониторинг всех его действий, видео и скрипты хранятся потом отдельно, сам инет выдается только по распоряжению руководства и через пачку фильтров. Про активный мониторинг траффика, Cisco IDS/IPS, договора с апстримами о предотвращении DOS атак я уже и не говорю. Вобщем все это на них включая логи, СКУД, видеокамеры, три кольца охраны, кучу формализаций и регламетов которые они выдают на гора и тд. Основная идея комплексная безопасность, начиная от аккуратного выбора софта, заканчивая человеческим фактором. Да даже собеседования при приеме на работу у нас проводит бывший офицер ГБ, суровый дядька, тоже входит в security department.

> Судя по тону и весу аргументации, я с этим завязал ещё до
> того, как вы в 5-ый класс пошли.

Ну если для вас Тео неуч, Крис Касперски лох, то моя критика это уровень 5го класса, не больше. Не знаю как ваш, а мой пятый класс был в далёком совке, во времена ЕС ЭВМ и трамвая по 3 копейки.

Дальнейшую дисскуссию считаю лишенной смысла, ибо мне вам что-то доказывать абсолютно не впёрлось. Если вы всетаки напишите POSIX совместимое чудо-ядро на эрланге я пожалуй первым это попробую, удручает только то что небезопасный Си использовали при написании безопасного эрланга. Тоже как-то не стыкуется с вашей же теорией тотальной безопасности.

Ответить | Правка | Наверх | Cообщить модератору

304. "Взлом Linux через подключение USB-устройства стал реальность..."  +/
Сообщение от paxuser (ok), 12-Мрт-11, 00:41 
> Я уже читал что MAC вы считаете лишь помощником руткитерам, а подсистему

"Лишь" - вы от себя добавили. Пока ядро не защищено, с моей точки зрения польза от MAC не оправдывает риски в сколько-нибудь серьёзных случаях.

> Audit вообще лишенной смысла. Ваше право, считайте. Я же считаю что

Вы доводите моё мнение до абсурда.

> в Линуксах просто необходимы вышеприведенные техники защиты. В первую очередь потому,

Они нужны везде, где нужна защита. Когда оценочная стоимость охраняемых данных на чёрном рынке превышает $100k, например.

> что проще оказалось изобрести имено эти системы нежели в общем следить
> за качеством кода. Эдакий выстрел из пушки по воробьям. С другой

Одной заботой о качестве кода больших монолитных ядер существенных результатов не достигнуть. Тут нужен многоуровневый подход, сторонником которого вы якобы являетесь. Избирательно.

> стороны я так понимаю вы готовы поставить на то, что с

Нет, не понимаете и не хотите понять.

> исользованием данных техник ваш линукс перестал быть уязвимым априори? grsecurity /
> PaX / KERNHEAP patchsets все это bug free?

Вы не вдумываетесь даже в смысл моих ответов прямым текстом вам лично. Мните себя реалистом? Не льстите себе. Ваши реплики - это срез чёрно-белых взглядов максималиста, который не оставляет окружающим права на относительные суждения.

> Патчесеты стоит заметить не в mainline.

Заметить действительно стоит. Плохо, что не в mainline.

> Во FreBSD есть поддержка DEP, MAC,

"Поддержка DEP" там есть в вырожденном виде только на куче в юзерспейсе. Считайте, что нет. Особенно в свете jemalloc, двинутого сугубо и весьма на производительности.

> AUDIT, есть _securelevel >=2 в конце концов, и в целом более

Вы главное из виду упускаете: ни один из этих механизмов ядро от скомпрометированных пользовательских процессов не защитит. Впрочем, я всё это уже разжёвывал и повторять не собираюсь.

> качественный код. Заметь у меня нет задачи заставить вас использовать FreeBSD,

У меня сложилось впечатление, что ваша задача - зашориться от критики и оправдать любимую ОС правдами и неправдами, в том числе перевирая в вырывая мои слова из контекста.

> Боже упаси. Мне вообще до лампочки что у вас используется. Мое

Вы говорите так, будто эти слова для меня должны стать откровением.

> мнение такое фря развивается на жалкие 300 тысяч в год, при
> этом уровень безопасности системы достаточно высок

Уровень безопасности может быть "достаточно" высок лишь в конкретных случаях.

> количество vulns относительно небольшое.

Вы понимаете, что вы ничего не знаете о количестве, серьёзности и сложности поиска НЕ найденных уязвимостей? Вопрос риторический.

> Наличие MAC и AUDIT позволяют поднять уровень безопасности.

Они не предназначены для защиты ядра.

> Соглашусь, но и эти патчсеты можно обойти. Да со всеми фишками аля

Можно. Но стоимость обхода во многих случаях превысит прибыль от взлома системы. Что для вас значит "можно обойти"?

> PaX, grsec., patchsets, линукс безусловно надежнее. Но не кажется ли вам
> что нужно лечить болезнь, а не ее симптомы. Учитывая что в

Болезнь - это язык. Да, мне кажется, что её нужно лечить, но не так это просто и быстро. Упомянутые патчсеты позволяют снизить наносимый вред. А вот реактивные патчи на уязвимости - действительно, лечение симптомов в чистом виде.

> линукс вкладываются чуть ли не миллиарды денег, Торвальдс отрицает наличие проблемы
> с безопасностью как таковой.

Как таковой - не отрицает. Не доводите до абсурда. Впрочем, Торвальдс в этом и сам преуспел.

> Да читал я все, однако заметил огромную предвзятость, поэтому и ответил в
> том же ключе.

Предвзятость? Загляните в словарь. Моё мнение о FreeBSD основано на фактах. В том же ключе? Вы снова себе льстите.

> Слова Фюрера о том что его полностью устраивает текущее качество кода и
> полное отрицание проблем с безопасностью наводит знаете на мысли. Если человек

Качество кода его не устраивает, проблемы с безопасностью он полностью не отрицает. Это очередное доведение до абсурда с вашей стороны.

> _верит_ в то, что плод его творчества не требует работы над

Давно уже не верит, если вообще верил когда-либо.

> качеством и безопасностью при этом продолжает обрабатывать патчи на скорости граничащей
> со здравым смыслом, у меня это как минимум вызовет вопросы. Безопасным
> такой подход назвать никак нельзя.

Безопасным нельзя назвать даже реальный подход Торвальдса, не говоря уж о ваших фантазиях.

> Да вобщем-то ничего особенного, утомительно все перечислять. Эти люди _верят_ в то,

[поскипано описание бюрократического аппарата]
> дядька, тоже входит в security department.

Ясно, спасибо.

> Ну если для вас Тео неуч, Крис Касперски лох, то моя критика

Неуча-Тео и лоха-Касперски вы только что придумали.

> это уровень 5го класса, не больше. Не знаю как ваш, а

А вот вес и форма подачи ваших аргументов вполне реальны.

> мой пятый класс был в далёком совке, во времена ЕС ЭВМ
> и трамвая по 3 копейки.

Ну так и соответствуйте. Или вам комфортнее иначе?

> Дальнейшую дисскуссию считаю лишенной смысла, ибо мне вам что-то доказывать абсолютно не

Вот и поглядим.

> впёрлось. Если вы всетаки напишите POSIX совместимое чудо-ядро на эрланге я

ОС на эрланге - очередной плод вашей бурной инфантильной фантазии, разыгравшейся на почве диагонального чтения.

> пожалуй первым это попробую, удручает только то что небезопасный Си использовали
> при написании безопасного эрланга. Тоже как-то не стыкуется с вашей же
> теорией тотальной безопасности.

Уж с вашей теорией тотальной безопасности точно не стыкуется. А у меня всё складно да ладно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру