Portál AbcLinuxu, 5. června 2024 06:26
Slashdot upozorňuje na záznam přednášky Jona Larimera z IBM o autorun útocích na Linux. Dozvíte se, jaké možnosti existují, i jak se proti nim bránit.
Tiskni Sdílej:
mount /dev/sdc1 /mnt/usbflash
mc /mnt/usbflash
Me zase prekvapuje, ze Linux ma uzivatele, kteri chteji autorun...mno, tak lidé jsou různí, to by mě až tak nepřekvapovalo co mě ovšem sere je, že Linux má vývojáře, kteří kašlou na uživatele, co nechtějí autorun-like featury ...
co mě ovšem sere je, že Linux má vývojáře, kteří kašlou na uživatele, co nechtějí autorun-like featury ...Tohle zrovna byla chyba a projevila by se, i kdybys to otevřel v Nautilu ručně. A automount vypnout jde, podařilo se mi to tak důkladně, že už se nemountuje ani to, co bych mountovat chtěl .
pokud uživatel používá jako jediné rozhraní commandlineNechápu, čím používání jenom příkazového řádku snižuje šanci prolomení. Myslím, že pak je naopak šance prolomení vyšší ( protože je to do značné míry standardizované rozhraní) než když používá nějaké útočníkovi neznámé GUI.
P.S. ta otázka je dost naivní, jako byste předpokládal že útočník v GUI na dálku obsluhuje myš aby sama klikla na nějaké tlačítko, to by uznávám bylo o dost těžší než poslat prostý příkaz do termináluTakový "vir" pro GUI i pro CLI už jsem si napsal, je s tím docela sranda . Nemyslel jsem to takhle, jde o to, že CLI nástroje jsou tak nějak víc standardizované než GUI. Ale asi je to celkem jedno. V každém případě nevidím v CLI jako takovém žádnou bezpečnostní výhodu. Bezpečnostní chyby umožňující spustit cizí kód bývají v jádře aplikace, jestli se např. nějaký ten thumbnailer obsluhuje přes GUI, nebo přes CLI, na tom nezáleží. GUI jako takové může mít složitý kód, ale s daty samo o sobě nic složitého nedělá - to je úkol pro jádro aplikace, ne pro uživatelské rozhraní.
To s těmi náhledy apod.. bohužel souvisí s orientací desktopového GNU/Linuxu směrem podobným Windows, (...)Na náhledu není nic nebezpečného. Nebezpečná může být jenom jeho implementace, stejně jako implementace čehokoliv jiného. Problém je, že tam můžou vznikat ty bezpečnostní díry. Stejně pokud budu chtít s těmi soubory něco dělat, tak si nejspíš jejich náhled zobrazím a budu očekávat, že mi to nemůže nabourat počítač - nemělo by. Asi by se takovýto kritický kód měl psát v nějakém bezpečnějším jazyce než C, hodně problémů (buffer overflow) by to odstranilo, dokonale bezpečné to nebude nikdy. V každém případě je potřeba řešit ty bezpečnostní chyby a ne strkat hlavu do písku s tím, že kdyby se na ty data žádný kód nepouštěl, tak se to nemohlo stát. Když ale počítač nedělá nic, tak je to sice bezpečné, ale neužitečné.
Je potřeba porovnávat porovnatelné.
Takhle se dá pokračovat dál a dál,
Jak často potřebujete zobrazit v ikoně vzhled např."A" u každého souboru s fontem, který se náhodou vyskytne?Asi moc často ne, ale až se na to někdy budu chtít podívat, tak se nakazím. Prostě je to špatně, taková chyba tam nemá být. Je jenom dobře, když se na ni přijde a opraví se. Ne všechny ty informace nutně potřebuju, někdy třeba žádné, ale může to pomoct. Však není povinné mít náhledy zapnuté.
Počítač má člověka poslouchat a ne aby člověk poslouchal "přemoudrý a všemocný" počítač.Tady "poslouchám" počítač asi tak, jako "poslouchám přemoudrého a všemocného číšníka", co mi přinesl jídelní lístek
Tady "poslouchám" počítač asi tak, jako "poslouchám přemoudrého a všemocného číšníka", co mi přinesl jídelní lístek
Podobně zamykání souborů ve Windows vs žádné zamykání v Linuxu (a jiných unixech). Tahle vychvalovaná vlastnost unixu je navrch huj, vespod fuj.
A jsem ochotný podstoupit to riziko, jelikož se systémem pracovat umím, a pokud se mi podaří ho zdemolovat tak že nenajedou Xka, umím ho opravit.Tato nespolehlivost se obvykle připisuje naopak Widlím (BSOD) a UNIX jakože takové věci nedělá Ten argument s BFU uznávám, v prvním případě nebude BFU schopný systém zprovoznit, zatímco v druhém bude, i když by neměl, protože je to přece BFU a nerozumí tomu Systém ale nemá být schválně nepřístupný. V dnešní době prostě musí být počítač schopný fungovat jako černá skříňka, bez toho, aby ho ovládal někdo, kdo mu do detailů rozumí. Systém, který nefunguje bez toho, aby se v něm hrabal expert, je nejspíš nedodělaný nebo je to nepoužitelný bastl.
Dívání se na film během stahování naposledy když jsem to viděl ve WinXP fungovalo
Tato nespolehlivost se obvykle připisuje naopak Widlím (BSOD) a UNIX jakože takové věci nedělá
V dnešní době prostě musí být počítač schopný fungovat jako černá skříňka
Ano, ale jak jsem již naznačil, tohle mě nezajímá. Já jsem rád když systém dělá co chci a to čemu rozumím.To se nevylučuje.
Pokud si myslíte že jednoduchý systém který funguje spolehlivě je nepoužitelný bastl a jste radši když máte nablýskanou mašinku co vás osloví "dobrý den, vypadá to že máte moc souborů na ploše které nepoužíváte, nechcete je smazat??" jen co ji zapnete, je to vaše věc.Ne, to si nemyslím a takové chování nepovažuju za správný způsob přibližování systému BFU. Za nepoužitelný bastl považuju systém, kterému musím do detailů rozumět, abych s ním byl schopen pracovat. Tzn. pokud se systém po aktualizaci tváří jakože nic a ve skutečnosti je potřeba zapnout konzoli a vyťukat tam nějaké příkazy, které zajistí, že se změny správně aplikují a ode mě jako od uživatele se čeká, že to budu vědět a udělám to, je to špatný systém.
Jde o to, že UNIX prostě nemá způsob, jak zamknout soubor v případě, že k němu přistupuje program, který se zamykáním nepočítá.Nemá a já si myslím, že je to dobře. Rootovi nebo majiteli souboru nemá co kdo bránit v tom, aby se do souboru podíval, nebo v něm něco změnil. Napadá Vás nějaká situace, kdy se zamčením souboru tímto způsobem napáchá víc užitku než škody?
Napadá Vás nějaká situace, kdy se zamčením souboru tímto způsobem napáchá víc užitku než škody?Třeba u aktualizace: pokud aktualizuju za běhu, tak (teoreticky) potřebuju zajistit, aby mi v tu chvíli do toho nikdo nevrtal. A pokud mezitím nechám služby běžet a uživatele pracovat, tak tu jistotu nemám.
Kdyby to nešlo, tak by se asi UNIX nemohl na serverech tak používat, mohl by tam být jenom Windows
bezpečnost (ve smyslu safety)
Nikdy jsem neaktualizoval Firefox bez restartu, jak to děláte?To bylo ještě před tím, než se začaly při aktualizaci kontrolovat spuštěné aplikace.
a kdo ví, třeba aktualizovala jádro a tam je restart prostě potřebaKecy. Restart nebo odhlášení to vyžaduje i v mnoha jiných případech, než je aktualizace jádra.
ve smyslu "udělejte tomu oblé hrany ať se nikdo nepoškrábe" nebo "dejte na to cedulku 'pozor horké'"?To první. Pokud nejde to první, tak to druhé.
Když se nic nestane (aplikace/služba běží dál a nerestartuje se), uživatel může nabýt falešného dojmu, že se aktualizace už projevila
Kecy. Restart nebo odhlášení to vyžaduje i v mnoha jiných případech, než je aktualizace jádra.
To první. Pokud nejde to první, tak to druhé.
Kdyby se jen změnilo pořadí výměnných zařízení tak by to selhaloAsi ne, pokud má souborový systém jmenovku (label), tak se připojuje do
/media/jmenovka
.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.