abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    TUXEDO InfinityBook Pro 15 Gen10
    dnes 14:44 | IT novinky

    Představen byl notebook TUXEDO InfinityBook Pro 15 Gen10 s procesorem AMD Ryzen AI 300, integrovanou grafikou AMD Radeon 800M, 15,3 palcovým displejem s rozlišením 2560x1600 pixelů. V konfiguraci si lze vybrat až 128 GB RAM. Koupit jej lze s nainstalovaným TUXEDO OS nebo Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 3
    Glibc 2.42
    dnes 13:44 | Nová verze

    Po půl roce od vydání verze 2.41 byla vydána nová verze 2.42 knihovny glibc (GNU C Library). Přehled novinek v poznámkách k vydání a v souboru NEWS. Vypíchnout lze například podporu SFrame. Opraveny jsou zranitelnosti CVE-2025-0395, CVE-2025-5702, CVE-2025-5745 a CVE-2025-8058.

    Ladislav Hagara | Komentářů: 0
    DietPi 9.15
    dnes 06:00 | Nová verze

    Byla vydána nová verze 9.15 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    OpenLinkHub, ovládání systému CORSAIR iCUE LINK v Linuxu
    včera 21:22 | Zajímavý software

    Společnost CORSAIR podporuje svůj systém iCUE LINK pouze ve Windows a macOS. Jak jej ovládat v Linuxu? OpenLinkHub (GitHub) je open source linuxové rozhraní k iCUE LINK. Z webového rozhraní na adrese http://localhost:27003 lze ovládat RGB osvětlení, rychlost ventilátorů, nastavovat klávesnice, myši, headsety…

    Ladislav Hagara | Komentářů: 0
    Koordinátor ke kauze bitcoin po měsíci končí, měl ji řešit celé prázdniny
    včera 15:11 | Zajímavý článek

    Ve funkci koordinátora k bitcoinové kauze skončil bývalý ústavní soudce David Uhlíř. Informaci, kterou zveřejnil Deník N, potvrdila Radiožurnálu ministryně spravedlnosti Eva Decriox (ODS). Uvedla, že odchod byl po vzájemné dohodě. „Jeho mise je ukončená, auditní procesy se už povedlo nastavit,“ řekla. Teď má podle ministryně další kroky podniknout policie a státní zastupitelství. Koordinátorem jmenovala ministryně Uhlíře 19. června.

    Ladislav Hagara | Komentářů: 8
    Shotcut 25.07.26
    včera 13:00 | Nová verze

    Byla vydána nová verze 25.07.26 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    Linux 6.16
    včera 00:11 | Nová verze

    Po 9 týdnech vývoje od vydání Linuxu 6.15 oznámil Linus Torvalds vydání Linuxu 6.16. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies.

    Ladislav Hagara | Komentářů: 5
    Intel propustí 15 % zaměstnanců a opouští plán na továrny v Německu a Polsku
    25.7. 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 35
    MDN slaví 20 let
    25.7. 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    Wayback 0.1
    25.7. 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (28%)
     (5%)
     (6%)
     (4%)
     (1%)
     (2%)
     (25%)
    Celkem 167 hlasů
     Komentářů: 18, poslední dnes 09:24
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Přednáška o autorun útocích na Linux / Přednáška o autorun útocích na Linux (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    8.2.2011 13:35 AMDfan
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    mount /dev/sdc1 /mnt/usbflash mc /mnt/usbflash
    8.2.2011 14:19 polymorf | skóre: 14 | blog: tar_zxpf
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    LOL, on nazval Kubuntu "key-ubantu" :D
    8.2.2011 20:23 morpheus
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    vzdyt to vyslovil normalne jako "kay-ubuntu", ale spis me zajima co tam bude resit dal :-), podle zacatku prednasky to vypada zajimaveji nez z popisu teda.

    btw: by me zajimalo jestli ho vyvojari ubuntu ignorovali ze kolem toho dela prednasku - ani bych se nedivil. asi nestihaj
    8.2.2011 20:37 polymorf | skóre: 14 | blog: tar_zxpf
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    no, ja napr. Kubuntu nevyslovujem "Ká U-bun-tu" ale spolu "ku-bun-tu"
    moo avatar 8.2.2011 20:40 moo | skóre: 7 | Praha
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    a ja napr. k-unboot-tu. haha, lol, atd.
    End the FED!
    8.2.2011 21:59 morpheus
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Prednaska paradni :-). Ve zkratce, nejdriv skvele popise jak obrovsky mnozstvi kodu (a teda jak velky prostor k hledani bezpecnostnich chyb) resi nacteni usb disku (scsi,usb,udev,dbus,gvfs,nautilus,.....). Potom popisuje jak zneuzit automaticke otevreni disku v nautilu pri vlozeni diky nacitani thumbnailu - je tam podpora obrovskyho mnozstvi formatu a autor toho talku nasel chybu v DVI knihovne, kterou nakonec vyuzije v demu kdy unlockne ubuntu pri vlozeni usb disku. Mezitim ale jeste krasne schrne ASLR,PIE,NX a AppArmoru a jak se dostat pres jejich slabiny. A ty bugy co tam prezentuje nahlasil a dokonce je i v ubuntu opravili :-)

    Ale me teda to automaticky otvirani nautilu pri vlozeni usb disku stve i z pohledu pouzitelnosti.

    urcite zkouknu i jiny prednasky ze shmoocon
    8.2.2011 23:03 9.1.2011
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    ja myslel ze Linux nema bezpecnostni chyby :O :O :O
    8.2.2011 23:25 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Troll. Don't feed.
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    9.2.2011 00:08 d.c. | skóre: 30
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    To nebyl troll, to byl vtip! (no, teda asi...)

    Me zase prekvapuje, ze Linux ma uzivatele, kteri chteji autorun...
    9.2.2011 00:26 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    A proč ne? Koho baví hádat nebo pamatovat si, které zařízení se jak jmenuje a kterým příkazem se připojuje, když se mi může samo nabídnout (samozřejmě NE spustit automaticky program z média jak to dělaly staré windowsy) a já jako uživatel se můžu zabývat jen podstatnými věcmi.
    9.2.2011 10:00 sudcadred
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    to, co popisuje, je skor automount, a nie autorun, ktory sa popisuje v clanku
    9.2.2011 10:32 l4m4
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    V tom případě tě jistě nepotěší, že Microsoft Autorun nedávno definitivně zrušil:

    http://www.theregister.co.uk/2011/02/08/microsoft_windows_autorun_retirement/

    Co budeš chudáčku používat?

    Anebo že bys neveděl, co vlastně je autorun a nedokázal rozlišit autorun od automountu, ba dokonce ani od uživatelského rozhraní, které samo nic nepřipojuje, jen přehledně zobrazí pripojená zařízení?
    9.2.2011 08:56 kavol | skóre: 28
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Me zase prekvapuje, ze Linux ma uzivatele, kteri chteji autorun...
    mno, tak lidé jsou různí, to by mě až tak nepřekvapovalo

    co mě ovšem sere je, že Linux má vývojáře, kteří kašlou na uživatele, co nechtějí autorun-like featury ... :-(
    Jendа avatar 9.2.2011 19:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    co mě ovšem sere je, že Linux má vývojáře, kteří kašlou na uživatele, co nechtějí autorun-like featury ... :-(
    Tohle zrovna byla chyba a projevila by se, i kdybys to otevřel v Nautilu ručně.

    A automount vypnout jde, podařilo se mi to tak důkladně, že už se nemountuje ani to, co bych mountovat chtěl :-).
    11.2.2011 19:54 Tomas Kaluza
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Tak prave jsem kvuli vam oteverel gconf-editor a zacal hledat. /apps/nautilus/preferences/media_automount_open je asi to co hledate.

    Nemam to na cem ted vyzkouset, ale melo by to pripojit, ale neotevrit nove okno..
    Pavel Čejka avatar 9.2.2011 11:45 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Taktéž.

    Ale, že má uživatele, kteří chtějí autorun mne překvapuje méně, než to, že existují programátoři, kteří něco tak prohnilého nechají zapnuté ve výchozím nastavení.

    I když se nejedná přímo o spuštění binárky, jako o automatické prohledání svazku a pokus o zobrazení náhledů/spuštění přehrávače videa a podobné hovadiny.

    Myslím, že maximum, co by systém měl dělat - když už nutně musí být svazek mountován automaticky - je zobrazení ikonky na ploše pro BFU, nebo nic.
    9.2.2011 12:59 R
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Ze sa otvara automaticky Nautilus, to je klasicky GNOME fasizmus. S Linuxom to ma spolocne akurat to, ze sa s nim GNOME casto pouziva.
    9.2.2011 13:51 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    moment.... v Gnome to urcite jde nastavit. Takze to, jestli to je nebo neni nastavene je vec 1. administratora(*), ktery to instaluje/spravuje 2. Distribuce ... a pak teprve mozna Gnome.

    (*) to, ze je adminem nepouceny uzivatel je mozna trosku skoda, ze :-/
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    Jakub Lucký avatar 9.2.2011 14:24 Jakub Lucký | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    V debianu je to bohužel v defaultu On... Ale vypnutí je asi na 3 kliky
    If you understand, things are just as they are; if you do not understand, things are just as they are.
    9.2.2011 15:27 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Souhlasím s tím že by GNOME mělo zobrazit akorát tak ikonku na ploše a dost (jako to dělá Mac). To by se vlk nažral a koza zůstala celá.

    To s těmi náhledy apod.. bohužel souvisí s orientací desktopového GNU/Linuxu směrem podobným Windows, přičemž prakticky jde pro hackery/crackery díky otevřenému kódu a jednoduššímu debugování o mnohem snazší cíl než obdobný problém ve Windows - jediný problém na straně Windows je v tomto případě to, že Microsoftu skutečně ukrutně dlouho trvá než vydá příslušnou záplatu, ve světě GNU to velice rychle někdo opraví - když ne autor aplikace tak přinejmenším balíčkář nebo dokonce některý z pokročilých uživatelů.

    Podle té přednášky to navíc vypadá že jediné co exploit nakonec dokázal je "jen" spustit kód s právy uživatele, což ovšem vyžadovalo aby byl systém defuckto konkrétního typu s běžícími X a GNOME a s konkrétní cestou pro příslušný skript. Kdyby se jen změnilo pořadí výměnných zařízení tak by to selhalo (nehledě na možnou nepřítomnost thumbnaileru na fonty a jiných komponent). Tady se ukazuje síla GNU/Linuxu v tom co všichni bojovníci za desktopy kritizují - roztříštěnost a nejednotnost a také malá rozšířenost :-) Samozřejmě netvrdím že by se nenašla chyba třeba v subsystému USB která by se dala exploitnout přes speciálně naprogramovaný mikrokontrolér, ovšem takové věci se budou dělat až bude Linux více jednotný a více rozšířený... asi tak jako tomu je u Windows.
    9.2.2011 16:47 l4m4
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Spousta těchto věcí se dá bruteforcovat, byť to případném útočníkovi komplikuje život...
    9.2.2011 17:04 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    jo to je pravda, během přednášky bylo hezky vysvětleno že ASLR je takové "security by obscurity" a že s dostatečným počtem pokusů se adresy knihoven v RAM jednoduše "trefí" :-)
    9.2.2011 17:07 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    a je jisté, že by mohl případný červ (tedy spíš by měl) obsahovat všechny možné díry ve všech možných DE a OS co to jde :-) ovšem na GNU/Linuxu je pořád šance na prolomení malá,pokud uživatel používá jako jediné rozhraní commandline a svazky připojuje ručně ( i když zase není vyloučená pokud je chyba v parseru FS)
    9.2.2011 20:31 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    pokud uživatel používá jako jediné rozhraní commandline
    Nechápu, čím používání jenom příkazového řádku snižuje šanci prolomení. Myslím, že pak je naopak šance prolomení vyšší ( protože je to do značné míry standardizované rozhraní) než když používá nějaké útočníkovi neznámé GUI.
    9.2.2011 20:32 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    (nebo než když GUI a příkazový řádek navíc nějak kombinuje)
    9.2.2011 20:47 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Proč je nižší šance? Protože množství kódu okolo CLI je mnohem menší než okolo GUI. Pokud připojuju flashdisk stylem AMDFana (v 1.příspěvku pod zprávičkou) mount&mc nebo třeba mount&cd tak mi hrozí, že někdo exploitne implementaci USB v jádře, implementaci SCSI nebo implementaci použitého FS (asi nejvíce pravděpodobné). Víc prakticky nic (s tím že vzhledem k tomu že mount volám ručně, bugovitý FS exploitnout nejde pokud běží screensaver).

    Pokud mám ale moderní DE ala GNOME, najednou k těm předchozím kusům SW přibývá souborový manažer a například zmiňované thumbnailery, které jsou velmi složité a používají množství knihoven třetích stran. A čím víc kódu tím větší šance, navíc znásobená tím že například ten thumbnailer se spouští tolikrát, kolik je souborů v rootu připojovaného FS apod.. nehledě na to že tyto programy v GUI pracují automaticky a dokonce ani nerespektují že je session zamčena.

    Suma sumárum, není na tom nic k nechápání. Exploitování chyb v SW není že se někam připojíte a zkoušíte hesla nebo příkazy. Hledáte v SW díry které umožní procesoru skočit někam kam by správně neměl, a snažíte se ho donutit aby spustil vámi předem danou funkci API operačního systému (která může být z normálního CLI/GUI zakázaná). Vzhledem k tomu že GUI používá mnohem víc volání, mnohem víc funkcí OS, šance k nalezení špatně ošetřeného nastavení pointeru nebo plnění bufferu je mnohem vyšší.
    9.2.2011 20:55 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    jinými slovy, standardizované rozhraní není to s čím přicházíte do styku vy jako uživatel, ale to s čím pracuje operační systém. To je "pod kapotou" pořád stejné a konkrétní vzhled GUI nebo uživatelské rozhraní CLI utility nehraje naprosto žádnou roli. Naopak je větší šance že ve složitější komunikaci GUI s OS najdete chybu.

    P.S. ta otázka je dost naivní, jako byste předpokládal že útočník v GUI na dálku obsluhuje myš aby sama klikla na nějaké tlačítko, to by uznávám bylo o dost těžší než poslat prostý příkaz do terminálu :-)
    10.2.2011 14:11 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    P.S. ta otázka je dost naivní, jako byste předpokládal že útočník v GUI na dálku obsluhuje myš aby sama klikla na nějaké tlačítko, to by uznávám bylo o dost těžší než poslat prostý příkaz do terminálu :-)
    Takový "vir" pro GUI i pro CLI už jsem si napsal, je s tím docela sranda :-). Nemyslel jsem to takhle, jde o to, že CLI nástroje jsou tak nějak víc standardizované než GUI. Ale asi je to celkem jedno. V každém případě nevidím v CLI jako takovém žádnou bezpečnostní výhodu. Bezpečnostní chyby umožňující spustit cizí kód bývají v jádře aplikace, jestli se např. nějaký ten thumbnailer obsluhuje přes GUI, nebo přes CLI, na tom nezáleží. GUI jako takové může mít složitý kód, ale s daty samo o sobě nic složitého nedělá - to je úkol pro jádro aplikace, ne pro uživatelské rozhraní.
    9.2.2011 17:45 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    To s těmi náhledy apod.. bohužel souvisí s orientací desktopového GNU/Linuxu směrem podobným Windows, (...)
    Na náhledu není nic nebezpečného. Nebezpečná může být jenom jeho implementace, stejně jako implementace čehokoliv jiného. Problém je, že tam můžou vznikat ty bezpečnostní díry. Stejně pokud budu chtít s těmi soubory něco dělat, tak si nejspíš jejich náhled zobrazím a budu očekávat, že mi to nemůže nabourat počítač - nemělo by. Asi by se takovýto kritický kód měl psát v nějakém bezpečnějším jazyce než C, hodně problémů (buffer overflow) by to odstranilo, dokonale bezpečné to nebude nikdy. V každém případě je potřeba řešit ty bezpečnostní chyby a ne strkat hlavu do písku s tím, že kdyby se na ty data žádný kód nepouštěl, tak se to nemohlo stát. Když ale počítač nedělá nic, tak je to sice bezpečné, ale neužitečné.
    9.2.2011 21:06 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Já netvrdím že náhledy jsou neužitečné, a jsem pro aby se implementace thumbnailerů zlepšovala. Bohužel právě u takových věcí nelze moc dobře používat nějaký "bezpečnější" jazyk než C/C++, prostě z důvodu rychlosti - nikoho nezajímá proč se adresář s 5000 soubory otvírá deset minut.

    Já ale například náhledy nepotřebuji. U fotografií třeba ano, ovšem na to používám specifickou aplikaci pro fotografie. To že mi po najetí myší Nautilus hraje muziku uloženou v audiosouboru mi ale připadá jako zbytečná marnost, ať už je to implementované jakkoli bezpečně. Stejně tak nemusím vidět hned obrázek u každého spustitelného souboru, stačí mi podle piktogramu poznat jestli jde o spustitelný soubor (ano narážím na LNK ve Windows). Pokud to někdo chce, fajn. Ale takový člověk si musí dávat pozor na to co ne on spouští ale co dělá PC samo aniž by on chtěl.
    Pavel Čejka avatar 10.2.2011 11:29 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Souhlas.

    Pakliže je nutné systém/GUI/cokoli hlídat, jestli samo od sebe neprovádí automaticky nežádoucí činnost, tak to je špatně.

    Nic proti, když si to uživatel může explicitně zapnout, jeho volba, jeho riziko.

    Náhledy fotek (a pod.) jsou fajn, ale jednak to často program k prohlížení fotek umí lépe a druhak když už to potřebuju ve filemanageru (např. při třídění), tak to potřebuju jen někdy a v ostatních případech to zbytečně zdržuje. Náhledy jiných (neobrázkových) souborů mi přijdou jako úplný nesmysl ... třeba náhled nerozpoznatelné 1. strany z mnohaset stránkového PDF, nesmyslný kousíček tabulky OpenOffice ... o zvuku nemluvě, to nedává smysl.
    10.2.2011 14:02 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    V postatě jo: ve složitější aplikaci se snáz najde díra než v jednodušší, jednodušší se dá snáz uhlídat. Fotky si ale určitě budu chtít prohlídnout a nemůžu se toho bát s tím, že zobrazování fotek je nebezpečná operace. Pomocí standardních nástrojů na příkazovém řádku s fotkama pracovat rozumně nejde. Je potřeba porovnávat porovnatelné.

    Mimochodem, LNK soubory ve Windows můžou být v principu taky nebezpečné a dokonce to tak opravdu bylo: zobrazením ikonky LNK souboru se nedávno šířil zákeřný virus. Dočasný workaround, co Microsoft radil, byl vypnout zobrazování ikonek.

    Takhle se dá pokračovat dál a dál, můžeme se bát náhledů, ikonek, vlastně jakéhokoliv kusu kódu, který něco dělá. Má to dvě východiska: jedno je psát bezpečný kód a druhé je žít ve strachu a vypínat každou složitejší funkcionalitu (největším paranoikům nezbude než nechat počítač vypnutý ;-)). Jsem pro to první.
    10.2.2011 16:26 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Je potřeba porovnávat porovnatelné.

    Ale já porovnávám porovnatelné - porovnávám situaci, při které mi OS nabídne nové médium a situaci kdy mi OS médium automaticky připojí a ještě se pokusí zobrazit vše co v něm je a to i přesto že běží screensaver. Exploit v té přednášce byl postaven na chybě thumbnaileru na fonty. Jak často potřebujete zobrazit v ikoně vzhled např."A" u každého souboru s fontem, který se náhodou vyskytne? Co když budete chtít vidět "B" nebo "Ň" ? Stejně tak s PDF, videem, zvuky apod.. je to zbytečná marnost co užírá procesorový čas aplikacím co dělají užitečnou práci.

    Ano o té chybě v LNK vím dobře proto jsem je zmínil. Taky jsem nad touto chybou stavěl vlastní program :-)

    Takhle se dá pokračovat dál a dál,

    Ano, je nasnadě že můžeme jít do situace kdy je nejlepší počítač mít vypnutý, pak se z něj žádná důležitá data nedostanou. Na druhé straně extrému je ale počítač který se přihlásí, neustále se někam připojuje a neustále spouští a ukončuje na pozadí spousty aplikací aniž by se ho člověk dotkl více než tím že zmáčkne tlačítko "power". Tahle protivná "neklidnost" je vlastní moderním Windows, a moderní desktopový GNU/Linux ala Ubuntu se jim v tomto bohužel blíží...

    Já mám raději systém který prostě funguje když já chci a jak já chci. Když prohlížím desítky adresářů s tisíci souborů, nepotřebuju aby načítal tisíce thumbnailů, jen to zdržuje. Když chci používat výměnná zařízení, nechci aby mi je systém "plivl" na obrazovku když je připojím, co když zrovna to zařízení nechci ihned použít? Počítač má člověka poslouchat a ne aby člověk poslouchal "přemoudrý a všemocný" počítač.
    10.2.2011 20:00 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Taky nemám rád když se počítač chová nepředvídatelně a všelijaké automatické průvodce, kde není jasné, co to vlastně dělá. Chování, že se automaticky připojí filesystém na přenosném zařízení, které připojím k počítači, ale předvídatelné je a ve většině případů se to hodí. Může nastat situace, kdy třeba kontroluju chyby na větším množství takových zařízení a v takovém (dost neobvyklém) případě je vhodné automount vypnout. Při běžném používání se v naprosté většině případů pracuje s připojeným filesystémem a proto je automount v distribucích standardně zapnutý. Plivnutí obsahu zařízení na obrazovku je kontroverzní, neznalému uživateli to pomůže a komu se to nelíbí (chce s obsahem zařízení pracovat jinak), ten si to může vypnout. Podle mě je v pořádku, že se systém dodává nastavený tak, aby se hned dal dobře používat, bez nutnosti ručně zprovozňovat věci, které uživateli v 9 z 10 případů budou vyhovovat zapnuté.
    Jak často potřebujete zobrazit v ikoně vzhled např."A" u každého souboru s fontem, který se náhodou vyskytne?
    Asi moc často ne, ale až se na to někdy budu chtít podívat, tak se nakazím. Prostě je to špatně, taková chyba tam nemá být. Je jenom dobře, když se na ni přijde a opraví se. Ne všechny ty informace nutně potřebuju, někdy třeba žádné, ale může to pomoct. Však není povinné mít náhledy zapnuté.
    Počítač má člověka poslouchat a ne aby člověk poslouchal "přemoudrý a všemocný" počítač.
    Tady "poslouchám" počítač asi tak, jako "poslouchám přemoudrého a všemocného číšníka", co mi přinesl jídelní lístek :-)
    10.2.2011 20:25 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Já ale netvrdím že chci aby tam ty chyby byly. Ani si nemyslím že je to špatná cesta - jenom mám dojem že GNU/Linux logicky díky množství BFUživatelů ztratí veškeré své výhody (pro ně, naštěstí je možné si GNU software upravit po svém). O opravování chyb jsem psal v jednom z prvních příspěvků pod touto zprávičkou - tam jsem taky napsal že otevřený kód je dvojsečná zbraň, která zjednodušuje na jedné straně crackerům získávání kontroly a na straně druhé umožní řadě lidí chybu rychle opravit. Ovšem tohle platí v případě že tomu průměrný uživatel rozumí, alespoň z části. A zatímco dříve byl GNU/Linux doménou takových lidí, pomalu to tak přestává být...

    Tady "poslouchám" počítač asi tak, jako "poslouchám přemoudrého a všemocného číšníka", co mi přinesl jídelní lístek

    Ano, asi tak. Někdo hodinu poslouchá ukecaného číšníka, někdo problematice rozumí a místo poslouchání číšníkovi rovnou řekne co chce ;-)
    10.2.2011 20:56 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Je hodně důležité všechnu takovouhle automatiku dělat průhledně, aby se dala podle potřeby vypnout, zapnout, případně nějak upravit. Škatulkování uživatelů na "ten je lama, tomu nevadí, když to nepůjde vypnout" a "ten je pokročilý, ten to nebude chtít a vymyslí si nějakou vlastní náhradu" s tím moc dobře dohromady nejde. Výsledkem je pak software, který je vždycky z něčího pohledu pokažený.

    Třeba mě docela štve jiná věc, která mi připomíná Windows: Linux (Fedora) chce kvůli některým aktualizacím (nejen jádra) odhlásit uživatele a restartovat počítač nebo aspoň odhlásit uživatele. Kvůli tomuhle se linuxáci tradičně Widlím vysmívali. Tvářit se jakože nic a nechat uživatele všechno restartovat ručně a dokud to neudělá, tak mít systém v nekonzistentním stavu je ale taky špatné. Linux tady windowsovatí, ale není to kvůli BFU, je to proto, že prostě update za běhu nemá korektně vyřešený. Dřív byl akorát větší hazardér, stalo se třeba, že běžící Firefox se po aktualizaci začal chovat divně (nezobrazující se prvky dialogu po Ctrl+D atd.). Podobně zamykání souborů ve Windows vs žádné zamykání v Linuxu (a jiných unixech). Tahle vychvalovaná vlastnost unixu je navrch huj, vespod fuj. Ale fanatik řekne, že zkušený uživatel unixu/Linuxu si tohle pořeší vždycky sám, i když to v případě těch aktualizací je ve skutečnosti na běžném desktopu nereálné - každý radši zmáčkne tlačítko, chvilku počká a má to na 100 % v pořádku než aby hledal, co má ručně restartovat a jestli to v danou chvíli restartovat může.
    10.2.2011 22:29 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Podobně zamykání souborů ve Windows vs žádné zamykání v Linuxu (a jiných unixech). Tahle vychvalovaná vlastnost unixu je navrch huj, vespod fuj.

    Ano a tohle je právě otázka přístupu. Já tedy možnost pracovat se souborem otevřeným jinou aplikací tedy rozhodně ocením a to vysoko (a nejen při přehrávání právě stahovaného filmu, nebo při aktualizaci běžící aplikace). To že BFU chce jen zmáčknout tlačítko mě nezajímá, já chci opravit problém hned, chci se hned koukat na ten film abych věděl jestli to není fake. A jsem ochotný podstoupit to riziko, jelikož se systémem pracovat umím, a pokud se mi podaří ho zdemolovat tak že nenajedou Xka, umím ho opravit.

    Ano jsem fanatik, ale snad uznáte že mám v jedné věci pravdu - přibližováním počítače BFU či lamám (jak chcete) se bude vždy snižovat bezpečnost systému jako takového, prostě už z toho důvodu že BFU nemusí "mít ani šajn" o tom co se ve stroji děje a i přesto má díky BFU-friendly systému šanci do něj zasahovat (což je ostatně prapůvodní filosofie Windows).
    11.2.2011 22:41 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Dívání se na film během stahování naposledy když jsem to viděl ve WinXP fungovalo (myslím, že s VLC, jistý si nejsem). Když se zamykání používá správně, tak je to prospěšné. UNIX ani Linux zaručit přístup jen jednomu programu neumožňuje, prostě to tam chybí. Běžné aplikace to přitom neřeší. V databázích to je a je to dobré. Prostě UNIX je starý systém a některé věci nemá vyřešené moc dobře.
    A jsem ochotný podstoupit to riziko, jelikož se systémem pracovat umím, a pokud se mi podaří ho zdemolovat tak že nenajedou Xka, umím ho opravit.
    Tato nespolehlivost se obvykle připisuje naopak Widlím (BSOD) a UNIX jakože takové věci nedělá :-)

    Ten argument s BFU uznávám, v prvním případě nebude BFU schopný systém zprovoznit, zatímco v druhém bude, i když by neměl, protože je to přece BFU a nerozumí tomu :-) Systém ale nemá být schválně nepřístupný. V dnešní době prostě musí být počítač schopný fungovat jako černá skříňka, bez toho, aby ho ovládal někdo, kdo mu do detailů rozumí. Systém, který nefunguje bez toho, aby se v něm hrabal expert, je nejspíš nedodělaný nebo je to nepoužitelný bastl.
    12.2.2011 10:59 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Dívání se na film během stahování naposledy když jsem to viděl ve WinXP fungovalo

    Ano, umělo to třeba StrongDC. Ovšem obecně to rozhodně nefunguje, ani nemůže. Zamykání souborů je zbytečnost a naopak to nahrává tvůrcům nejrůznějších humusů (nehledě na to že určité věci prostě nezměníte za provozu, musíte nabootovat LiveCD a změnit to "zvenčí"). U databází jde o poněkud jiný problém, jelikož v ohromném množství uživatelů a požadavků těžko můžete předpokládat přesné pořadí. BTW UNIX samozřejmě zamykat soubory umí.

    Tato nespolehlivost se obvykle připisuje naopak Widlím (BSOD) a UNIX jakože takové věci nedělá

    Tohle je zásadní nepochopení. Nespolehlivost systému není daná tím "jak moc do systému můžu rýpat aniž by se sesypal". To že Windows dělají BSOD nečekaně a bez jakéhokoli zásahu je nespolehlivost. Pokud do UNIXu nerýpete, nesesype se, jen tak sám od sebe. Je spolehlivý a to dost. Pokud do něj rýpat chcete, musíte vědět co děláte, jinak se to může snadno sesypat ;-) je to daň za svobodu.

    V dnešní době prostě musí být počítač schopný fungovat jako černá skříňka

    Ano, ale jak jsem již naznačil, tohle mě nezajímá. Já jsem rád když systém dělá co chci a to čemu rozumím. Na GNU/Linuxu je zlaté právě to že ten systém jde takhle používat. Pokud si myslíte že jednoduchý systém který funguje spolehlivě je nepoužitelný bastl a jste radši když máte nablýskanou mašinku co vás osloví "dobrý den, vypadá to že máte moc souborů na ploše které nepoužíváte, nechcete je smazat??" jen co ji zapnete, je to vaše věc. Já považuju to druhé za nepoužitelný bastl, jelikož se to snaží být chytřejší než já a moc se mu to nedaří. Mám raději blbého otroka než neschopného šéfa.
    13.2.2011 18:05 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Netvrdím, že Windows je lepší. Jde o to, že UNIX prostě nemá způsob, jak zamknout soubor v případě, že k němu přistupuje program, který se zamykáním nepočítá. Zamykání v unixu je dobrovolné, program se na to může vykašlat. Ale je fakt, že tohle může nahrávat virům a podobně, nedá se říct, že je to může jenom prospět. Je taky fakt, že v unixu se dá přístup jen jedním programem vynutit tím, že poběží pod zvláštním uživatelem.
    Ano, ale jak jsem již naznačil, tohle mě nezajímá. Já jsem rád když systém dělá co chci a to čemu rozumím.
    To se nevylučuje.
    Pokud si myslíte že jednoduchý systém který funguje spolehlivě je nepoužitelný bastl a jste radši když máte nablýskanou mašinku co vás osloví "dobrý den, vypadá to že máte moc souborů na ploše které nepoužíváte, nechcete je smazat??" jen co ji zapnete, je to vaše věc.
    Ne, to si nemyslím a takové chování nepovažuju za správný způsob přibližování systému BFU. Za nepoužitelný bastl považuju systém, kterému musím do detailů rozumět, abych s ním byl schopen pracovat. Tzn. pokud se systém po aktualizaci tváří jakože nic a ve skutečnosti je potřeba zapnout konzoli a vyťukat tam nějaké příkazy, které zajistí, že se změny správně aplikují a ode mě jako od uživatele se čeká, že to budu vědět a udělám to, je to špatný systém.
    13.2.2011 18:47 Martin Mareš
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Jde o to, že UNIX prostě nemá způsob, jak zamknout soubor v případě, že k němu přistupuje program, který se zamykáním nepočítá.
    Nemá a já si myslím, že je to dobře. Rootovi nebo majiteli souboru nemá co kdo bránit v tom, aby se do souboru podíval, nebo v něm něco změnil.

    Napadá Vás nějaká situace, kdy se zamčením souboru tímto způsobem napáchá víc užitku než škody?
    14.2.2011 16:28 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Napadá Vás nějaká situace, kdy se zamčením souboru tímto způsobem napáchá víc užitku než škody?
    Třeba u aktualizace: pokud aktualizuju za běhu, tak (teoreticky) potřebuju zajistit, aby mi v tu chvíli do toho nikdo nevrtal. A pokud mezitím nechám služby běžet a uživatele pracovat, tak tu jistotu nemám.
    14.2.2011 17:52 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Jediné, co se během práce aplikace může měnit, je konfigurace. Ta by se ovšem během aktualizace softwaru měnit neměla. Ostatní věci (spustitelné soubory, knihovny) jsou v paměti, tudíž je naopak dobře že je možné je na disku změnit aniž by se musely dělat obstrukce se seznamy různě pojmenovaných souborů a jejich zběsilým nahrazováním během rebootu (doména windows).
    14.2.2011 17:57 Martin Mareš
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Obyčejný uživatel do souborů, na které aktualizace sahá, stejně nemá právo zápisu. Správce snad ví, co dělá, ne?
    15.2.2011 13:24 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Je fakt, že se to dá vyřešit tím, že tam má právo zápisu jen správce balíků a člověk-správce (root), který ví, co dělá. Zrovna u toho Firefoxu ale myslím, že byl problém způsoben něčím jiným: ne všechno je trvale v paměti, něco se načítá ze souborů dynamicky a po aktualizaci byl běžící program (ještě ten starý) nekompatibilní s nějakýma novýma věcma. To nevyřeší nějaké zamykání. Prostě aktualizace by neměla běžící program dostat do nekonzistentního stavu.

    Jinak zamykání souborů by určitě našlo využití při sdílení souborů. Je ale fakt, že se bez toho, aby to přímo zabezpečoval systém, dá obejít a dá se to pomocí unixového flocku nebo nějakýma trikama (jako že vytvoření adresáře nebo přesunutí souboru je atomická operace) dodělat to všech programů, které budou s těmi daty současně pracovat. Kdyby to nešlo, tak by se asi UNIX nemohl na serverech tak používat, mohl by tam být jenom Windows :-)
    15.2.2011 15:37 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Ta podivná situace, kterou tu pořád opisujete z FF, byla zapříčiněna prostě tím, že FF (nikoliv GNU aplikace nebo dokonce GNU/Linux obecně) vůbec nepočítá s tím že ho "něco" bude aktualizovat za běhu. Má totiž vlastní systém aktualizace (při které se sám restartuje). Tudíž je u něj možné že načítá (zpravidla javascripty či XUL doplňky) věci z disku...to že do něj Fedora hrabe aniž ho restartuje je opětovně problém pouze a jenom Fedory.

    Kdyby to nešlo, tak by se asi UNIX nemohl na serverech tak používat, mohl by tam být jenom Windows

    Jo, tak ten byl dobrej :-) práce se soubory ke kterým má víc lidí přístup k zápisu je obecně velký problém, a často je současný přístup vyžadován (sdílené tabulky například). Tady se spíš UNIXová funkcionalita dodělává do Windows ;-) jinak například přesuny a podobné věci nejsou problém (původní umístění je při používání jiným uživatelem/jinou aplikací udržováno pro dotyčného klienta v paměti, dokonce i při smazání příslušného souboru/adresáře), naopak se často setkáte spíš s tím, že Windows odmítají nějaký soubor smazat či přesunout nebo dokonce jen přejmenovat (!) protože jej má kdosi kdesi otevřený (a dost možná už ani nemá, spojení vytuhlo a s tím i sdílení). Řešit to lze jedině restartem...
    Jakub Lucký avatar 15.2.2011 15:59 Jakub Lucký | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    btw: Firefox zrovna má interní systém detekce změn souborů a navrhuje restart, pokud se mu některý soubor změní pod rukama...
    If you understand, things are just as they are; if you do not understand, things are just as they are.
    10.2.2011 23:11 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    A ještě dodám jednu okřídlenou hlášku : Systém je bezpečný jen tak jak bezpečně se chovají jeho uživatelé. GNU/Linux je systém jako každý jiný, a když se k němu budou uživatelé chovat tak jako k Windows, bude stejně bezpečný jako Windows. Tečka. Proto se budu raději ke svému systému chovat tak jak jsem zvyklý.

    P.S.rozhodně si nemyslím že je nemožné pořešit aktualizace za běhu, stačí místo tupého aktualizování všeho vědět co aktualizuji a proč.. ;-)
    11.2.2011 22:41 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Taky si nemyslím, že by to bylo nemožné, jenom to není naprogramované. A to je špatné. Není to lepší než Windows, jenom se doteď tak nedbalo na bezpečnost (ve smyslu safety).
    12.2.2011 11:09 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Naprogramované to je a ne jednou, spousta distribucí automaticky restartuje příslušné služby po jejich reinstalaci (jakkoliv to považuju za zlo). Ostatně, jak byste to chtěl dělat, nějakou kontrolou changelogů na známé chyby, zjištěním které verze by mohly mít problém číst konfiguraci těch starších (konkrétních verzí) ap..? To by měl být problém autorů aplikací nikoliv balíčkářů/distributorů (i když nejeden to tak řeší). To že to zrovna Fedora dělá špatně (a kdo ví, třeba aktualizovala jádro a tam je restart prostě potřeba) je problém Fedory. BTW Nikdy jsem neaktualizoval Firefox bez restartu, jak to děláte?

    bezpečnost (ve smyslu safety)

    ve smyslu "udělejte tomu oblé hrany ať se nikdo nepoškrábe" nebo "dejte na to cedulku 'pozor horké'"? :-)
    13.2.2011 18:05 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Jak souvisí případná nekompatibilita nové verze se starými konfiguráky s tím, že je potřeba restartovat systém nebo se odhlásit na to, aby se změny projevily? Systém by měl umět si s tím poradit, někdy ale prostě je aktualizace za běhu problém. Je to problém ve Windowsech a je to problém i v Linuxu. Samozřejmě to záleží na konkrétních aplikacích. Když se nic nestane (aplikace/služba běží dál a nerestartuje se), uživatel může nabýt falešného dojmu, že se aktualizace už projevila a dál používat aplikaci/službu např. s bezpečnostní dírou. Je dobré, že na to Fedora aspoň upozorňuje. Windows je k uživateli drsnější, s restartem neustále otravuje.
    Nikdy jsem neaktualizoval Firefox bez restartu, jak to děláte?
    To bylo ještě před tím, než se začaly při aktualizaci kontrolovat spuštěné aplikace.
    a kdo ví, třeba aktualizovala jádro a tam je restart prostě potřeba
    Kecy. Restart nebo odhlášení to vyžaduje i v mnoha jiných případech, než je aktualizace jádra.
    ve smyslu "udělejte tomu oblé hrany ať se nikdo nepoškrábe" nebo "dejte na to cedulku 'pozor horké'"?
    To první. Pokud nejde to první, tak to druhé.
    13.2.2011 20:17 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Když se nic nestane (aplikace/služba běží dál a nerestartuje se), uživatel může nabýt falešného dojmu, že se aktualizace už projevila

    Jak jsem naznačil, spousta distribucí příslušný software restartuje. Navíc, pokud uděláte změnu která je vyloženě špatně a například víte, že by systém příště nenajel, můžete ji napravit aniž byste skončil v nefunkčním systému. Navíc, jak říkám, jsem odpůrce těchto automatizovaných řešení. Nikdy jsem ve svém systému neaktualizoval "prostě vše". Zvláštní co? :-) Aktualizuju když vím že mi to něco přinese. V opačném případě na to kašlu.

    Kecy. Restart nebo odhlášení to vyžaduje i v mnoha jiných případech, než je aktualizace jádra.

    Fedoru neznám, a to že vyžaduje kdoví co mě nijak nevzrušuje. Pokud vyžaduje BFU distro po BFU aby restartoval počítač po reinstalaci hudebního přehrávače, je to blbost. V případě že se aktualizují Xka to až taková blbost není když BFU sotva rozlišuje mezi X a jádrem (ostatně to zas jeho nezajímá že?)

    To první. Pokud nejde to první, tak to druhé.

    Ale můj názor od počátku je ten že je to smutné, že se Linux takhle ohýbá pro BFU. Já na svém systému žádné cedulky nepotřebuji a oblé hrany nenávidím :-P
    Jendа avatar 9.2.2011 19:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    Kdyby se jen změnilo pořadí výměnných zařízení tak by to selhalo
    Asi ne, pokud má souborový systém jmenovku (label), tak se připojuje do /media/jmenovka.
    9.2.2011 21:10 Matlák
    Rozbalit Rozbalit vše Re: Přednáška o autorun útocích na Linux
    No a to taky záleží na konkrétním nastavení a případně SW implementaci, a takových je plno. Já si připojím flashdisk kam se mi to zrovna hodí :-) pravda že pokud je to v Ubuntu takhle, ještě víc to zjednoduší práci případného black-hata při útoku na ten "linux" :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.