×

Розробка · 16 вересня 2012, 18:04 1787

Безопасность в Linux?

Уважаемые граждане, как вы считаете на сколько высока защита в Linux от вирусов (трояны, черви, кей-логеры, сканеры итп...) в отличии от Windows ? Ведь и под *nix также вирусы есть !

Недавно проверил одну свою машинку на Windows 7 там сколько всякой дряни нашел что сложно поверить, хотя стоял Avast Prenium (Я его убрал и проверил всё Eset NOD), всё зачистил но потом снова заметил на мониторинге сети активность, какая-то «гадость» лезла в Инет и Eset уже не помог. На другой машине стоит Fedora 17 и никаких проблем и левого ПО не наблюдается. Хочу все машины перевести на Linux (причина по которой я этого раньше не сделал это частое «падение» KDE и любовь к Counter-Strike) и поставить OpenSuse 12.2 (Линукс-Мены говорят что безопасность\защита данных\итп.. у OpenSuse на порядок выше чем в Fedora).

Вообщем я хочу что бы всякая вредоносная дрянь не лезла в мою систему и никто вообще не лез ко мне и в мой компьютер, Linux — это панацея ?

PS: От компьютера мне нужно только PyCharm, Eclipse, музло и Онлайн-фильмы (про Counter-Strike прийдется забыть). Все компы (4 машины) подключены к Интернету 24\7 !

Теми: Linux, безпека

👍ПодобаєтьсяСподобалось0

До обраногоВ обраному0

Facebook

Twitter

LinkedIn

Схожі топіки

Ctrl + Enter

Ctrl + Enter

Vlad Styran Co-founder and CEO в Berezha Security Group 26.09.2012 14:07

Панацеи нет. Линукс сравнительно безопаснее по одной причине — он менее распространен, и как следствие менее привлекателен для злоумышленников. С другой стороны, атаки на ОС нынче не в моде, потому что практически постоянно есть какой-нибудь актуальный 0-day в клиентском ПО (на момент написания коммента это дыра во всех версиях Java SE). Посему, споры о том, какая ОС безопаснее, практической пользы не несут. Просто регулярно обновляйте ПО (не только ОС) и БД антивируса. БОльшие усилия делают из безопасности самоцель.

Відповісти

Підтримати

Grez 19.09.2012 22:25

Самый страшный вирус под линукс это pacman -Syuf

никогда не делайте так :’-(

Відповісти

Підтримати

двадцатитрёхлетний сениор 20.09.2012 14:36

А ещё эти уроды поломали glibc и симлинки в одном из обновлений, да ещё и так хитро, что после обновлений всё посыпалось >_<

Відповісти

Підтримати

Grez

anonymous 19.09.2012 07:03

Об любой современный SELinux-enabled десктоп с классическим выходом в инет сломает зубы 99% вирусов (есть еще к сожалению броузеры с JS/Flash, но это отдельная тема), и это из того весьма малого их количества, которое известно под эту OS. За более чем 15 летний срок использования Linux, я лично, не имел опыта заражения какой либо заразой, несмотря на то, что никогда ни на одной машине у меня не стояло так называемое антивирусное ПО. Не вдаваясь в подробности можно сказать что с Linux ты не тратишь 90% на борьбу с дырявой, по определению, OS, вирусами пролезающими во все дыры и бесполезными антивирусами, которые, там must have иначе будет чертовски больно и обидно буквально через считанные минуты выхода в инет ;) Можно отметить, что безопасность любой OS, включая и Linux, нужно постоянно отслеживать — вопрос какой кровью и средствами это дается для каждой из.

Відповісти

Підтримати

Dmytro Lapshyn Tech Lead в Fulcrum Rocks 19.09.2012 17:44

есть еще к сожалению броузеры с JS/Flash, но это отдельная тема

Так дело в том, что и в современный Windows вирусы, в основном, проникают именно таким путём (плюс через дырки в Java еще).

Відповісти

Підтримати

anonymous 19.09.2012 18:07

В современный Linux вирус не проникнет даже через броузер, так как SELinux policy этого тупо не позволит. Там даже просто запустить броузер/написать к нему политику — дело весьма и весьма нетривиальное. Я не сильно знаком с этим вопросом в венде, но слышал, что во-первых понятие security policy есть кажись только в server editions и во-вторых оно принципиально оперирует целыми _группами_пользователей_ в то время как в Linux ограничения проверяются и действуют на каждый запущенный процесс, вне зависимости от того, кому он принадлежит. Т.е. в венде стоит иметь дыру в любом из приложений группы пользователей — и ты царь горы. А в Linux обломинго даже внутри одного процесса — к примеру приложению ping разрешено только посылать ICMP пакеты, что значит что оно не сможет к примеру работать с файловой системой, если его даже сломать через suid бит.

Відповісти

Підтримати

Oleksandr Sakharov Senior Developer 17.09.2012 17:15

Ведь и под *nix также вирусы есть !

Нуда , только для успешного запуска их надо патчить (ЛОР). :) как бы непросто плодится всякой дряни если все, откуда может она смозапускаться закрыто для записи.

Відповісти

Підтримати

Maksym Iakovliev Technical Solutions Architect 17.09.2012 17:08

совсем недавно на днях читал о руткитах которые не требуют записи на диск.
Насколько я понял, чаще всего таких зверей создают для серверных систем.
Принцип работы (как я понял):
1. Берем сервер на котором находится ПО содержащее уязвимость приводящее в переполнению буфера (отдельная тема разговора)
2. Создаётся соответствующий эксплоит
3. Внедренный таким образом зловред сможет выполняться с правами взломанного приложения.
Для затруднения обнаружения данный тип зловредов не ведет никакой самостоятельной сетевой активности, также не обращается в дисковой подсистеме, не сохраняет себя. Тем самым достигается максимальная незаметность в длительное время.

Из Минусов: приходится повторять процесс проникновения после каждой перезагрузки сервера до момента пока на сервере не установят фиксы.

З.Ы. Найду статью оригинал- кину ссылку.

Відповісти

Підтримати

Oleksandr Sakharov Senior Developer 17.09.2012 17:24

ну как бы все потенциально дырявое обычно запускаю в песочнице ... и в качестве порофита можно получить только то, что живет в этой папке и попортить только то, куда может писать приложене

Відповісти

Підтримати

Maksym Iakovliev

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 15:47

!#/bin/bash

rm — rf/*

Вот самы страшный вирус под линукс! Но вы ведь не будете запускать его из-под рута?)
Вообще, можно достаточно спокойно чувствовать себя под линуксом.

Рута юзаю только для апдейта системы или установки пакета из репозитория или другого официального и проверенного источника. Все достаточно просто контролируется и запустить какуюнить хрень под линуксом еще умудриться надо. Игрушки тоже нормально идут под вайном, особенно контра. Так что велкам ту дарк сайд :)

Відповісти

Підтримати

двадцатитрёхлетний сениор 17.09.2012 15:49

Вы замужем?

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 15:51

Так что велкам ту дарк сайд :)

Ах да, тут не только печеньки, а еще и девушки есть.

Відповісти

Підтримати

двадцатитрёхлетний сениор

Mikhail Boiko SE в NVIDIA 17.09.2012 15:51

dd if=/dev/urandom of=/dev/sda && sync

Відповісти

Підтримати

Станіслав Малкін DevOps в Flix 17.09.2012 16:01

внимательный читатель сказал бы что этот «страшный» вирус не сработает даже из-под рута.

Відповісти

Підтримати

Mikhail Boiko SE в NVIDIA 17.09.2012 16:04

(щас пацаны засмеют, но ладно)
А почему не сработает?

Відповісти

Підтримати

Станіслав Малкін

Станіслав Малкін DevOps в Flix 17.09.2012 16:06

криво-написанный скрипт?

Відповісти

Підтримати

Mikhail Boiko SE в NVIDIA 17.09.2012 16:10

пробелы стоят не правильно? О_о

Відповісти

Підтримати

Станіслав Малкін

Bogdan Shyiak SE or Dev 17.09.2012 16:25

внимательный читатель сказал бы что этот «страшный» вирус не сработает даже из-под рута.

Вы не на скрипт смотрите, а на ~~сиське~~ аватарку.

Відповісти

Підтримати

Станіслав Малкін

Mikhail Boiko SE в NVIDIA 17.09.2012 16:28

Фи-м, как неприлично!

Відповісти

Підтримати

arsalkatpashs atpash 04.10.2018 11:30

-

arsalkatpashs atpash 04.10.2018 11:32

-

Sandro Zakusilov 17.09.2012 15:39

Что бы окончательно укрепить паранойю, предлагаю поставить/включить снифер сетевых пакетов, и посмотреть что там куда отправляется. Сетевая активность — не признак того что в системе есть вирусы.

Відповісти

Підтримати

onemore 17.09.2012 14:53

Чому б не пошукати в Google про те де безпечніше? Схоже, шо на цьому форумі ніхто особливо в даному питанні не розбирається і/або їхній мозок переповнений стереотипами і певними предубеждениями які не дозволяють сказати щось об’єктивне. Для запуску Windows програм взагалі, і іграшок зокрема, раджу глянути на Play on Linux ru.wikipedia.org/...iki/PlayOnLinux. Для Linux є антивірус... Ну або Cureit від Dr.Web.

Відповісти

Підтримати

Grez 17.09.2012 15:17

Зато вы похоже очень сильно разбираетесь в безопасности.

Відповісти

Підтримати

onemore 17.09.2012 15:41

Геть не розбираюся.

Відповісти

Підтримати

Grez

ScorpZ Lapshov C++/C# && other programmer в AMC Bridge 17.09.2012 12:54

Ну на счет контры, я думаю, не стоит горячиться, с использованием того же моно заведется она под линуксом без проблем, я думаю.
А на счет вирусов, тут, в плане уязвимости, линукс не далеко от винды ушел.
Другое дело , что писать вирусняки, для линукса особо никому и не нужно, поэтому и шанс их подцепить намного меньше.

Но они(вирусняки под линукс) есть и их предостаточно. Сам не раз сталкивался со всякими троянами, которы непонятно откуда брались (предположительно через дыры в апач-мускул-пхп) на наших серверах и слали в сеть всякую бурду...

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 13:58

Ну на счет контры, я думаю, не стоит горячиться, с использованием того же моно заведется она под линуксом без проблем, я думаю.

Вы я смотрю эксперт) Моно (реализация .net) от wine( реализация winapi ) отличить не можете. CS вообще-то был создан еще до дотнета, но это ладно.

А на счет вирусов, тут, в плане уязвимости, линукс не далеко от винды ушел.

Опять же, занести малварь на линукс это надо еще постараться, в общем я считаю ваш пример надуманным.

Відповісти

Підтримати

ScorpZ Lapshov C++/C# && other programmer в AMC Bridge 17.09.2012 14:06

Сорри, действительно перепутал — вайн и моно, на счет контры я вайн имел ввиду...

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 15:48

а вот нефик куда попало права на запись апачу давать!

Відповісти

Підтримати

ScorpZ Lapshov C++/C# && other programmer в AMC Bridge 17.09.2012 16:15

Я , собственно не админ, но насколько я помню, вся эта комбинация была по дефолту установлена, никто дополнительными настройками безопасности не занимался.

Відповісти

Підтримати

Андрей 17.09.2012 10:10

проверил одну свою машинку на Windows 7 там сколько всякой дряни нашел что сложно поверить

— не качай что попало: бесплатный софт только с офф сайтов + malware-free раздачи
— не смотри порн откуда попало
— включай плагины только по требованию (почти все браузеры это умеют)
— не выключай обновления, следи за безопасностью страниц (https и т.п.)

— не пользуйся флешками: любой мейл-провайдер проверяет аттачменты за тебя

и будет тебе счастье. Можно и под виндой жить без антивируса и за десять лет ничего не поймать. А можно и как нектороые — под линуксом и на андроидах вирусы ловить каждую неделю.

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 15:50

У моего мужа на винде антивиря нет уже год. Просканила курейтом ради прикола — чист!

Відповісти

Підтримати

Виталий Кеценко 18.09.2012 11:25

У меня уже 3 года без антивиря на двух машинах ничего нет (периодически сканю из-под другой оси). Работаю всегда под админом. Но есть ньюанс — у меня Windows 7×64, на ней и программы то не все запускаются ))

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 18.09.2012 11:37

о_О! апщет с х64 давно уже не нюанс.. что же за софт вы юзаете?

Відповісти

Підтримати

Виталий Кеценко

Виталий Кеценко 18.09.2012 11:57

Да проблемы в основном с клиентбанками и подобным им софтом, и некоторые игры не первой свежести бывает не хотят запускаться. Хотя в банке моём мне уже год обещают что вот-вот и поставят мне новую версию КБ, как тока дотестят ))

Відповісти

Підтримати

Blitz .net Developer 17.09.2012 08:45

Безопастность обеспечивается не ОС, а прямыми руками, у меня винды по несколько лет стоят. Но технически — виря под линукс в тысячи раз меньше. Кстати, контр-страйк под линуксами работает.

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 12:49

.NET’чик не мог не стать в защиту винды.

Відповісти

Підтримати

Blitz

Bogdan Shyiak SE or Dev 17.09.2012 12:53

.NET’чик не мог не стать в защиту винды.

Ну, например, я искренне презираю дотНет, но с высказыванием:

Безопастность обеспечивается не ОС, а прямыми руками

согласен.

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 14:00

В винде надо попариться с этим, а в линуксе все и так отлично. А если еще iptables уметь пользоваться...

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 15:54

Да не обязательно. По дефолту тот же ssh-server в убунту выключен. А так смысл айпитейблс ковырять? Роуты настраивать?

Відповісти

Підтримати

двадцатитрёхлетний сениор 17.09.2012 16:10

Вы знаете, что такое файрволл и зачем он нужен?

Відповісти

Підтримати

Oksana Chuiko Software Engineer в Pure Storage 17.09.2012 16:12

Знаю, и даже настраивала и под линуксом и под фрей.

Відповісти

Підтримати

двадцатитрёхлетний сениор

двадцатитрёхлетний сениор 17.09.2012 16:12

Тогда почему пишете глупые вопросы про смысл ковыряния айпитейблс?

Відповісти

Підтримати

flyman 17.09.2012 21:47

смысл ковыряния айпитейблс?

полісі сконфігурити?

Відповісти

Підтримати

двадцатитрёхлетний сениор

boo 17.09.2012 20:52

Ну, например, я искренне презираю дотНет

Почему? А жабку? Ведь java это тоже инструмент, который рассчитан на массы не сильно квалифицированных кодеров. Только поддержка у нее со стороны гигантов ит была и есть мощнее чем у .нета.

Відповісти

Підтримати

Bogdan Shyiak SE or Dev 17.09.2012 21:21

Почему?

Найдите мои комментарии на эту тему, мне лень объяснять это сейчас.

Відповісти

Підтримати

boo

Blitz .net Developer 17.09.2012 13:01

А ты не согласен?

Да и вообще, почему у тебя такая попа-боль от дот-нета и винды?

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 14:01

bfolder.ru/...6/683600719.jpg

Никакого баттхерта, просто религиозная ненависть и бесконечное презрение.

Відповісти

Підтримати

Blitz

Blitz .net Developer 17.09.2012 14:04

Ну я так и думал. Логикой и не пахло.

Ты в курсе, что это — чистой воды школотизм и уже не модно?

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 14:20

Ну почему же, не пахло. Консоль лучше? Лучше. Куча утилит вроде make/vim/ssh/ifconfig/rfkill, не говоря уже про coreutils есть.
Безопасность, опять же, вирусни — нет, малварь — вообще редкость.

Сеть легче настраивать. Да и полный контроль над системой это тоже очень удобно, и плевать что постороннему человеку севшему за мой персональный компьютер не будет понятно, он мой и настроен под меня и я буду работать продуктивнее чем в общем случае. В любом случае *nix для девелопера лучше, удобнее, продуктивнее.

Про .NET( и про остальные технологии microsoft) же, могу сказать о его закрытости, проектах которые в общем случае представляют мелкий ентерпрайз, где вся работа сводиться к формошлепству, ну и конечно vendor lockin, sharepoint нормально не работает ни с чем кроме IE(а это ад сопровождать IE), использование самой убогой базы данных — MSSQL, совершенно убогий silverlight. Единственное что мне нравиться, так это LINQ и тот, заслуга функциональщиков работающих в microsoft research.

Відповісти

Підтримати

Blitz

Blitz .net Developer 17.09.2012 14:32

Первый абзац — дело вкуса (кроме вирусни), обсуждать не буду.

Второе, ну тут, прямо скажем — по большей части — бред. Разработка под дот-нет — как правило сервер сайд, формошлёпство уже подиздохло. Закрытость, а чи не пофиг (часто в сурсы дефолтных либ лазишь?). Единственная технология, где нужен мистический открытый код — ASP.net MVC (из-за соглашений), но там то он открыт. Про Шарпоинт ничего не знаю. ИЕ с 9 версии — абсолютно нормальный браузер (по мнению нашего верстальщика), у МССКЛ ровно 1 недостаток для повседневной работы — отсутсвие встроенного пейджинга (в 2012 уже есть). Сервелат был отличной штукой, жаль что здох, ну да фиг с ним, не будет гемора с бинарной несовместимостью.

Відповісти

Підтримати

двадцатитрёхлетний сениор 17.09.2012 14:57

ИЕ с 8 версии — абсолютно нормальный браузер (по мнению нашего верстальщика)

Погуглите про HTML 5, всякие там новомодные канвасы и не пишите больше таких вещей, а вашему верстале — низачот ваще.

Відповісти

Підтримати

Blitz

Blitz .net Developer 17.09.2012 15:05

HTML 5 — пока ещё не вошёл в силу. Ну пусть будет с IE9.

Відповісти

Підтримати

двадцатитрёхлетний сениор

двадцатитрёхлетний сениор 17.09.2012 15:28

Вы плохо информированы: пятёрка уже давно сидит в вебе. Фейсбук уже успел прогореть на играх HTML 5, а на канвас (и ноде.жс) уже настрогали римейк олд-скуловых танчиков — а вы «Ещё не вошёл в силу».

Відповісти

Підтримати

Blitz

proger 17.09.2012 15:37

ну до аспа хмтл5 еще не докатился. они даже мвц прикрутили , когда остальные уже на hmvc переходят

Відповісти

Підтримати

двадцатитрёхлетний сениор

двадцатитрёхлетний сениор 17.09.2012 15:45

ASP — Advanced SlowPoke? :)

Відповісти

Підтримати

Blitz .net Developer 17.09.2012 15:47

Да не, есть он там (в MVC опционально). В конце концов, никто не мешает пихнуть HTML 5 тег на форму или вьюху, лишь бы браузеры понимали.

Відповісти

Підтримати

Blitz .net Developer 17.09.2012 15:40

Ага, я знаю. Цукерберг уже заявил, что это было одно из худших решений.

Отдельные элементы используются (ну типа video). Но говорить про HTML 5 рано. Реализованные фичи в браузерах — чистой воды бардак. У одних одно, у других другое, в общем пока набор поддерживаемых элементов в браузерах не будет более — менее одинаковым о действительно широком распотранении реч не будет.

Відповісти

Підтримати

двадцатитрёхлетний сениор

flyman 17.09.2012 21:48

Многа букафф, всьо ні асіліл. Однако

использование самой убогой базы данных — MSSQL

Лол, просто лол.

Андроід із ескулайтом — тоді взагалі ницісць і нищебродство.

Відповісти

Підтримати

Sandro Zakusilov 18.09.2012 14:24

Что значить «и тот»? LINQ это заслуга команды разработчиков C#, да в том числе там поучаствовали люди из microsoft research, но в том числе и Хейлсберг.

en.wikipedia.org/...uter_scientist

Вот человек за LINQ, но также он участвует/участвовал в разработке MS SQL, .NET и прочего — чего ты ненавидишь.

Любишь Джаву, вот и люби тихонечко в сторонке, джуниор джава девелопер.

Відповісти

Підтримати

двадцатитрёхлетний сениор 17.09.2012 00:56

ru.wikipedia.org/wiki/SELinux

Відповісти

Підтримати

reality_hacker 17.09.2012 00:51

qubes-os.org/Home.html

Відповісти

Підтримати

двадцатитрёхлетний сениор 17.09.2012 00:48

Поставил debian, сижу под lynx’ом — 5 лет полёт нормальный. No flash&scripts = no virus :)

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 07:40

Надо ещё добавить, под MIPS процессором :)

Відповісти

Підтримати

двадцатитрёхлетний сениор

двадцатитрёхлетний сениор 17.09.2012 11:23

80486 :)

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 12:52

Ну вы слабак, я вот GET’ом из консоли достаю страничку и в голове рендерю html, а программы в ed’е пишу и все это из под NetBSD на alpha процессоре.

Відповісти

Підтримати

двадцатитрёхлетний сениор

двадцатитрёхлетний сениор 17.09.2012 13:01

Коментар порушує правила спільноти і видалений модераторами.

двадцатитрёхлетний сениор 17.09.2012 14:30

Зачем вы это делаете, если есть lynx? :)

А программы трушные линукс-программисты пишут так:

echo -e ’#include <stdio.h> \n main() { printf (“sudo shutdown -h 0”); }’ > out.c && gcc -o out out.c && ./out | xargs -i -t sh -c “eval {}”

Відповісти

Підтримати

Ivan Pomidorov 17.09.2012 17:56

Трушные программисты используют бабочек

Відповісти

Підтримати

двадцатитрёхлетний сениор

Grez 17.09.2012 00:03

Я с линуксом забыл о существовании вирусов вообще :-)

Відповісти

Підтримати

proger 16.09.2012 20:24

как-то ставил вирус под линукс — пока скачал, пока скомпилил, показ запустил... умучился в общем :)

как ниже сказали, безопасность юниксов базируется на простых вещах:
— достаточно редкая платформа, поэтому вирусописателям не интересна
— меньше дураков пользователей

— параноидальная архитектура (которую можно еще больше наворотить , тот же selinux )

От компьютера мне нужно только PyCharm, Eclipse, музло и Онлайн-фильмы (про Counter-Strike прийдется забыть)

— контер нормик бегает под линуксом

— с онлайн-фильмами нужно тестить, на моем ноуте после апдейта с пеньсуси 11.4 до 12.1 флеш-плеер отказался работать нормально в full-screen (ну он работает, но ресайз идет через проц, что уныло, ати-шная карта если шо)

вобщем ставить в виртуалку или дуал-бут и смотреть

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 16.09.2012 20:36

— достаточно редкая платформа, поэтому вирусописателям не интересна

Я не так давно помогал разгребать последствия установки ядрённого руткита через какую-то дырку апача. Судя по клинической картине инфильтрации, был простой краулер, который просто перебирал хосты и заражал всё, что мог разными способами, какие были доступны. Вот так собирался недурственный ботнет, поэтому если машина торчит в инете, то всякого можно ожидать.

Відповісти

Підтримати

proger 16.09.2012 20:50

ну обычно ломают сайты, но что бы получить рута ... я уверен что все возможно, особенно если там никто апдейтами не занимался , но все же достаточно редкое событие

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 07:39

ну обычно ломают сайты, но что бы получить рута ...

Так не та цель, домашний дефейс делать глупо, а иметь сеть из ботнетов вполне себе достойная причина.

я уверен что все возможно, особенно если там никто апдейтами не занимался

Вот мы плавно подошли к той проблеме, что Linux вообще мало чем отличается от винды в плане тех же проблем безопасности. Особенно, если не следить за регулярными обновлениями.

Відповісти

Підтримати

anonymous 19.09.2012 06:40

Для начала Linux отличается ничтожным количеством вирусов, на порядок большей сложностью их написания и последующего заражения, чего не скажешь о венде. Несмотря на то, что основная проблема безопасности это человеческий фактор, сервер на венде — это нонсенс по определению ;) А для людей ценящих свое время и спокойствие — десктоп тоже ...

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 19.09.2012 07:09

Тут разговор не о вирусах, это совсем другая ниша.

Відповісти

Підтримати

Grez 17.09.2012 00:01

нат наше фсё

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 07:35

Это не защитит от заражения через флеш, например.

Відповісти

Підтримати

Grez

Grez 17.09.2012 09:53

я думаю, если не сидетьпод рутом, и ставить регулярные секюрити апдейты, то вероятность этого «несколько маленькая»

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 10:15

не рут — не панацея, дыры с privilage escalation находят до сих пор, вот свежий пример: www.livehacking.com/...-linux-drivers . А если ставить регулярные секьюрити апдейты, то везде риск заражения будет одинаковый, и под windows’ом и под linux’ом.

Відповісти

Підтримати

Grez

proger 17.09.2012 12:34

не рут — не панацея, дыры с privilage escalation находят до сих пор, вот свежий пример: www.livehacking.com/....-linux-drivers .

єто скорее пример того, что я раньше указал :

как-то ставил вирус под линукс — пока скачал, пока скомпилил, показ запустил... умучился в общем :)

для того, что бы той дырой воспользоватся, кто-то из под рута должен поменять права доступа к /dev/nvidia0 , что какбы не совсем нормально само по себе

ну и с обновлениями мне линукс подход нравится больше — из одного гуя обновляется все, а не только родной софт производителя оси

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 16:19

для того, что бы той дырой воспользоватся, кто-то из под рута должен поменять права доступа к /dev/nvidia0 , что какбы не совсем нормально само по себе

Это же DRM, в этом его суть, что под юзером можно управлять аппаратурой через ioctl’ы и прочие сисколлы. Там просто смещали окно памяти, принадлежащей акселлератору в зону памяти, где расположена память ядра. После имели r/w доступ в память ядра.

То же можно провернуть со звуковой платой и многими другими PCI устройствами, драйвера которых оперирируют физическими адресами вместо выделения буферов внутри себя.

ну и с обновлениями мне линукс подход нравится больше — из одного гуя обновляется все, а не только родной софт производителя оси

Ну это на любителя, особенно если dependencies потянут за собой пол репозитория.

Відповісти

Підтримати

proger 17.09.2012 20:13

Это же DRM, в этом его суть, что под юзером можно управлять аппаратурой через ioctl’ы и прочие сисколлы.

гм. еще раз — по дефолту юзер не имеет доступа к этому устройству

Ну это на любителя, особенно если dependencies потянут за собой пол репозитория.

это же обновления, не ?

dependencies важны только при установке

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 20:28

гм. еще раз — по дефолту юзер не имеет доступа к этому устройству

По какому дефолту, какого-то кривого дистрибутива? Гм, ещё раз — он для этого создан, чтобы не рут мог поиграть в CS. Иначе DRM будет отключён и будет использоваться indirect rendering со всеми ему присущими тормозами.

Відповісти

Підтримати

proger 17.09.2012 20:49

чета ржу.
у меня и кс играет и доступ к /dev/nvidia0 только для рута и группы

что я делаю нитаг ?

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.09.2012 08:20

Тут смешного мало, что записано в секции DRI x.org.conf ? Что пишет glxinfo и что glxgears?

Відповісти

Підтримати

proger 18.09.2012 11:14

ну если мне не верите, сами убедитесь

cgit.freedesktop.org/...demos/glxinfo.c

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.09.2012 11:21

А зачем мне исходники, мне бы вывод утилит на целевой системе.

Відповісти

Підтримати

proger 18.09.2012 11:45

так надо было попросить

pastebin.com/JGnJCE57

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.09.2012 12:21

так надо было попросить

Так я же так и спросил,

Что пишет glxinfo и что glxgears?

Ну а теперь перейдём к самому интересному.

name of display: :0.0
display: :0 screen: 0

direct rendering: Yes

А именно, direct rendering: Yes. Этому есть множество объяснений: 1) Вы работаете под рутом, 2) Вы работаете под пользователем в группе video (какое-то приложение сменило пользователя), 3) В цепочке запускается нечто суидное? 4) и т.д.

А факт в том, что вы, работая под пользователем получили доступ к /dev/nvidia0, на которой стоят рутовские права. Что и требовалась доказать, к эксплоиту система готова.

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.09.2012 12:25

Или как тут ещё подсказывают, в /etc/modprobe.conf есть такая запись NVreg_ModifyDeviceFiles=1, которая разрешает динамическую смену прав /dev/nvidia0 :)

Відповісти

Підтримати

proger 18.09.2012 19:11

у меня и файла такого нет :(

Відповісти

Підтримати

proger 18.09.2012 19:21

а может все проще (см. бритву)? :)

glxinfo работает через X сервер, а точнее через один из драйверов. а так как (ухты) х сервер стартует от рута и драйвера под рутом, то они и могут читать\писать все , но пользователь работает только с апи (даже под виндой так, direct rendering не значит что пользовательская программа может делать с устройством все что угодно)

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 18.09.2012 21:05

glxinfo работает через X сервер, а точнее через один из драйверов. а так как (ухты) х сервер стартует от рута и драйвера под рутом, то они и могут читать\писать все , но пользователь работает только с апи (даже под виндой так, direct rendering не значит что пользовательская программа может делать с устройством все что угодно)

Всё правильно, вышеописанное называется indirect rendering, т.к. X сервер и клиент связываются между собой с помощью сетевого или локального соединения. Каждый вызов API посылает данные от сервера к клиенту.

А direct rendering — это работа с акселлератором практически напрямую.

Відповісти

Підтримати

proger 18.09.2012 21:23

практически

угу. вот кто мешает открыть исходник експлоита и пронаблюдать


	if ((fd = open("/dev/nvidia0", O_RDWR)) < 0)
		goto fail;

потом глянуть исходники того же glxinfo и найти разницу ? :)

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 19.09.2012 07:14

OMFG, это демонстрация эксплоита, а не призыв к действию. Если проприетарные нвидиевские DRM либы могут из под юзера открыть /dev/nvidia0 (а это, как мы разобрались, свершившийся факт) — это сможет любая программа :) Мы же не ожидаем, что будет reverse engineering нвидиевской DRM либы в этой статье? Или, например, как получить номер _уже_ открытого файлового дескриптора с помощью той же glxinfo, которая сделает всю грязную работу вместе с DRM библиотекой? Элементарно.

Відповісти

Підтримати

proger 19.09.2012 19:29

/dev/nvidia0 (а это, как мы разобрались, свершившийся факт)

на данный момент это всего лишь ваша гипотеза, доказательств я все жду-жду... уже устал ждать

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 19.09.2012 19:39

Вы, наверное, лучше меня знаете, как работает DRI/DRM, что позволяет Вам продолжать наставивать на своём мнении? Какие ещё нужны доказательства, DRM клиент работает из под пользователя и открывает устройство с рутовыми правами. Что тут не понятно? Что требует доказательств?

0) Вы хоть пробовали эксплоит запускать из под своего юзера? Или просто думаете, что он не заработает? :)

1) Давайте, повожу за ручку. Для начала мне нужно содержимое /etc/group и ls -l /dev/nvidia*. Udev активна или нет? Если активна, то мне нужно содержимое udev.rules.

Відповісти

Підтримати

proger 19.09.2012 19:58

о. теперь нашел. да, вы правы , юзера по дефолту добавляются в группу video и имеют rw доступ к /dev/nvidia0

Відповісти

Підтримати

Grez 17.09.2012 12:59

А если ставить регулярные секьюрити апдейты, то везде риск заражения будет одинаковый, и под windows’ом и под linux’ом.

Разница на самом деле в том, что на линукс 90% софта ставится из родных репозиториев, в то время как на винду все нужно ставить черти откуда. И вот без антивируса всеравно почти ну никак :-)

ЗЫ. сам я на домашней винде, которая только для игрушек, антивирусом не пользуюсь, она стоит уже года два и работает без проблем.

Відповісти

Підтримати

anonymous 17.09.2012 15:37

-

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 16:14

А мне чего то кажется, что чёрношапочники нацелены больше на линуксы, так как их в качестве дешевой серверной ОС наставлено очень много на различных сайтах. И заруткитить тачку, торчащую постоянно в инете намного полезней для своих целей, чем винду школьника.

Відповісти

Підтримати

anonymous 17.09.2012 16:20

-

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 16:46

Все-таки за такими тачками торчащими в Интернете следят (хотя в большинстве своем, может, и не особо следят, я имею в виду те, кто используют в качестве «дешевой ОС» для сайтика) более опытные пользователи

Я как-то раз разгребал последствия внедрения руткитов на пачке сайтов, принадлежащих различным сайтам-мордам предприятий и интернет магазинов «блондинок». Они все один раз наняли админа, дизайнера и программиста для разработки сайта и удалённого управления контентом. Дальше только проплачивали хостинг и заливали картинки, таких людей огромное количество. Наличия гадости было вычислено косвенным путём, хостинг провайдер устанавливал оплату трафика при его превышении в пятикратном размере, и когда пришли счета на оплату (по-моему за пол года), народ тихо охренел.

Я писал модуль ядра для блокировки работы ядрённого руткита, который удалённо нанятый админ уже инсталлил на машины и фиксил последствия.

Это ботнет, доступный в сети практически 24/7/365, его ценность выше на несколько порядков, чем 1000 винд школьников, которые включают комп на треть суток в лучшем случае. Естественно, для автоматического инжектора нет большой разницы, это комп в инете или сайт на выделенном хостинге.

Это просто мои наблюдения. Для статистики:

На февраль 2012 года в зоне RU зарегистрировано 3 600 000 доменов
На февраль 2012 года в зоне РФ зарегистрировано 780 000 доменов

В на март 2012 в зоне .UA зарегистрировано 645 тыс. доменных имен

Остаётся только прикинуть сколько из них хостятся на линуксах, которые были поставлены один раз на всю жизнь...

Відповісти

Підтримати

Grez 17.09.2012 19:08

А типа еслиб там не линукс, а виндовс 24/7 стояла, ёё б не взломали ?

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 19:30

В том и дело, что windows в этом сегменте даже не упоминается. Ставить какой нибудь Server, это дорого, да и требования к железу есть. Какой-нибудь professional + IIS туда можно поставить, но чаще переставлять придётся. nginx прилепить можно, но зачем тогда винда? В том то и дело, что в этом сегменте одни линуксы.

Відповісти

Підтримати

Grez

Grez 17.09.2012 19:41

Я думаю, что под винду и всякие IIS руткитов не меньше, а то и больше. И в случае «один раз поставил, забыл, и оно всегда доступно» у виндов шансов на «выживание» точно не больше :-) Хотя я согласен что линукс в данном случае не панацея. Надо ставить чтото аля опенбсд :-)

Відповісти

Підтримати

anonymous 17.09.2012 19:14

-

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 19:31

Так это так сказать совершенно другое направление, можно даже сказать безобидное.

Відповісти

Підтримати

anonymous 17.09.2012 19:36

-

Відповісти

Підтримати

Kirill Sablin Developer 16.09.2012 20:16

про Counter-Strike прийдется забыть

думаю можно запустить через wine

Відповісти

Підтримати

Mike Mln 16.09.2012 20:19

запускается 100% :)

Відповісти

Підтримати

Станіслав Малкін DevOps в Flix 17.09.2012 16:03

только не всегда есть нужные дрова под видеокарту

Відповісти

Підтримати

Mike Mln 16.09.2012 19:37

Не лазьте по злачным сайтам ( как сказали выше ).
Много времени работал на Linux — вирусов не наблюдал, по крайней мере не замечал ни разу :)...

Перешел на винду — вирусы почти не достают ( разве что с флешек да с кряков )

Відповісти

Підтримати

Sergii Voloshyn Product Manager в DOU.ua 16.09.2012 19:42

А я для флешек использую
Panda USB Vaccine
вот еще а Хабре обсуждали ее:

habrahabr.ru/post/54187

Відповісти

Підтримати

Mike Mln 16.09.2012 19:46

спасибо, попробуем

Відповісти

Підтримати

Sergii Voloshyn

boo 16.09.2012 19:26

Единственный вариант узнать, это снести винду и попробовать. Посиди недельки две, проведи
анализ и напиши отчет на доу)
Если совсем глупостей не делать, то проблема с вирусами должна решиться. Линух не мейнстрим на десктопе что бы там водилось много вирусов и система секюрити другая.

Я правда сейчас под виндой сижу без антивируса и файрвола, и проблем никаких нет. Так что может также помочь смена политики использования)

Відповісти

Підтримати

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 16.09.2012 18:23

Недавно проверил одну свою машинку на Windows 7 там сколько всякой дряни нашел что сложно поверить, хотя стоял Avast Prenium (Я его убрал и проверил всё Eset NOD), всё зачистил но потом снова заметил на мониторинге сети активность, какая-то «гадость» лезла в Инет и Eset уже не помог.

Я не понимаю, а чем не устроило Microsoft Security Essentials? Это единственная вещь, которой я стал доверять. При каждодневном автоматическом обновлении оно довольно агрессивно отстреливает всё неподходящее + не мешает работать.

OpenSuse 12.2 (Линукс-Мены говорят что безопасность\защита данных\итп.. у OpenSuse на порядок выше чем в Fedora).

Просто фантастика.

И ещё такой вопрос, что нужно делать, чтобы подхватывать столько дряни?

Відповісти

Підтримати

Sergii Voloshyn Product Manager в DOU.ua 16.09.2012 19:30

Уже несколько лет использую Microsoft Security Essentials, все вроде ок.

Еще бывает антивирусы (нелицензионные) поставляются сразу с вирусами.

Відповісти

Підтримати

Køs Researcher в ELVESYS 17.09.2012 10:32

А если винда не лицензия, как работает эссеншиалз? При том, что его надо обновлять :) Что фантастика, то фантастика..

Линукс — это хорошо, но и винду можно подлатать под себя.

Відповісти

Підтримати

Sergii Voloshyn Product Manager в DOU.ua 17.09.2012 10:34

Лицензионная винда не намного дороже лицензионного антивируса стоит...

Відповісти

Підтримати

Køs

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 17.09.2012 10:57

А если винда не лицензия, как работает эссеншиалз?

А что ж так?

Відповісти

Підтримати

Køs

Bogdan Shyiak SE or Dev 16.09.2012 18:18

Ведь и под *nix также вирусы есть !

Только большинство из них требуют ввод рутового пароля :)

Linux — это панацея ?

Панацея — это наличие мозга. Даже под виндой, если не лазить по всякому шлаку, можно жить без антивируса.

Линукс это не мейнстрим, посему даже если смогут на вашу машину загрузить бинарник и попробовать запустить, то он, скорее всего, не будет работать.

Відповісти

Підтримати

Підписатись на коментарі

Ваша пошта

Не підписуватись