Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Jaro60 18. 08. 2023, 10:36:38
-
Dobrý deň
Tuším minulý rok tu bol článok s štatistikou bezpečnostných chýb OS.
Nejak nemôžem nájsť a v češtine neviem zadať správny dopyt.
Mohol by mi niekto kto si to pamätá link?
Ďakujem
-
https://www.root.cz/zpravicky/zivy-prenos-prednasky-o-bezpecnosti-operacnich-systemu/
https://www.root.cz/clanky/postrehy-z-bezpecnosti-zranitelne-windows-linux-android-i-bankomaty/
-
Ďakujem, to nie je ono.
To bola štatistika o počte bezpečnostných chýb v OS.
Bolo to rozdelené PC, rootre a pod.
Včera ma sused pracujúci v IT presviedčal o deravosti Linuxu a bezmála dokonalosti win :)
-
ha, už si vzpomínám, ale taky to zrovna nemůžu najít :X
-
Tady je statistika CVE Vulnerabilities per OS
https://www.cvedetails.com/top-50-products.php?year=2023
-
Dík
Nie je to síce ono ale použiteľné.
Ak si dobre pamätám tak win malo viac ako 10000 chýb. Tú vedie práve linux.
Keď si dám All time Leader tak debian má 8230 chýb :-\
-
nj. ale za linux jsou v těch číslech zahrnty i zranitelnosti ze všech desítek tisíc balíčků, co daná distribuce spravuje, u Windowsu se počítá pouze samotný OS a aplikace jsou bokem. Ty čísla nelze porovnávat takhle.
Pokud bych vzal jen Linux kernel, zase řeším to, že Windows má každé 3 roky novou verzi s novým názvem přitom pořád zakládá na těch předchozí, naproti tomu Linux kernel je za celou dobu pouze jediný a má tam tedy spočítané zranitelnosti za celých desítky let.
Stejně tak Windows nezveřejňuje všechny opravené zranitelnosti a o spostě z nich ani nevíme, je to prostě uzavřený systém.
Bezpečnost systému ale není o počtu zranitelností a tak to měřit rozhodně nelze, tak by totiž byl nejbezpečnější třeba OS, který si napíšu sám, že?
-
Jj.
Osobne som o bezpečnosti Linuxu presvedčený. Preto som opustil vidle a mám Debian k úplnej spokojnosti aj napriek tomu, že som lama.
Ešte ma nesklamal.
Možno by bolo dobré zverejňovať takéto štatistiky aj tu. Bolo by to pre mňa zrozumitelnejsie a aj porovnania ms office a libre office
-
Ty čísla nelze porovnávat takhle.
Pravda, ale i tak môžeme "všeobecne" povedať že Windows je výrazne menej bezpečný než Linux.
-
Isteže.
Vnučka sa dostala na kompromitovane stránky (používa win10) a antivir hneď hlásil odstránenie vírusu bez toho aby na čokoľvek klikla.
Bezpečnost užívateľa podľa MS
Mám pochybnosti či by sa to stalo v Linuxe keď som prihlásený ako užívateľ.
-
Nechcete toho vaseho suseda priviest na toto forum? Ked uz sa tu snazite zacat flame-war, resp si na to pripravit materialy. Nech to mame pekne z oboch stran.
A mne potom uz len zostane sa tu raz denne zastavit s miskou popkornu a citat :)
-
O flame-war sa nesnažím.
Sused sem nepríde. Nemá záujem o iné než win
-
Ty čísla nelze porovnávat takhle.
Pravda, ale i tak môžeme "všeobecne" povedať že Windows je výrazne menej bezpečný než Linux.
To právě nemůžeme. Windows je poměrně robustně připravený na desktop, oddělený jednotlivých aplikací, integrace antiviru do jádra, rychlé a pravidelné aktualizace (dnes už vynucené). Ani jedno z toho se nedá říct o desktop linuxu. U linuxu můžeš udělat velice rychle fatální chybu a bezpečnost výrazně snížit, jednotlivé procesy od sebe nejsou bezpečně izolované a snahy app arrmor, selinux, snap jsou pořád jen snahy a penetrují se pomalu.
Pokud někdo záměrně nevypíná aktualizace, má antivir (jaký vůbec použít pro linux?), neinstaluje každou volovinu, které dá zbytečně vysoká oprávnění, může být bezpečný i s Windowsem.
Já bych to tak jednoznačně neviděl. Zažil jsem už spousty napadených desktop linuxů, dokonce i serverů, zpravidla za to může chyba správce/uživatele a nikoliv nějaké neznámé zranitelnosti. Stejně tak jsem viděl velké množství napadených Windows stanic. Nemyslím si, že jen to, že budu používat konkrétni OS mě před něčím ochrání.
-
Zažil jsem už spousty napadených desktop linuxů
Čím konkrétně byly napadené? Díky.
-
To právě nemůžeme. Windows je poměrně robustně připravený na desktop, oddělený jednotlivých aplikací, integrace antiviru do jádra, rychlé a pravidelné aktualizace (dnes už vynucené). Ani jedno z toho se nedá říct o desktop linuxu. U linuxu můžeš udělat velice rychle fatální chybu a bezpečnost výrazně snížit, jednotlivé procesy od sebe nejsou bezpečně izolované a snahy app arrmor, selinux, snap jsou pořád jen snahy a penetrují se pomalu.
Linux nemá rýchle aktualizácie? Tak sa len tak pozriem na svoj Ubuntu a vidím včera update a hneď ďalší, a ten update obsahoval opravu chyby odhalenú pred 3 dňami. To sa ti zdá pomalé? Lebo u Windows majú pravidelné plátovanie, a teda sa čaká 2 týždne do vydania.
Izolovanie, hmm, tak určite, tárate nezmysli. To môžem u Windows tiež nazvať len "snaha", v tomto smere je práve Linux viac izolovanejší a keď spustím aplikáciu v kontajnery, tak viem že neujde.... dokonca v Linuxe nebežíš pod rootom, ako vo Windows pod adminom (má vyššie práva, aj keď ani ten nie kompletné)
Pokud někdo záměrně nevypíná aktualizace, má antivir (jaký vůbec použít pro linux?), neinstaluje každou volovinu, které dá zbytečně vysoká oprávnění, může být bezpečný i s Windowsem.
To platí všeobecne o úplne každom systéme. Ak si nainštalujem vírus, tak mám vírus. To dáva logiku, že?
Tam ťa nezachráni žiadny systém. A antivir je nezmysel ale keď chcete, tak pre Linux je mnoho antivirov, taký známy napríklad ClamAV. Sophos je tiež voľba.
Já bych to tak jednoznačně neviděl. Zažil jsem už spousty napadených desktop linuxů, dokonce i serverů, zpravidla za to může chyba správce/uživatele a nikoliv nějaké neznámé zranitelnosti. Stejně tak jsem viděl velké množství napadených Windows stanic. Nemyslím si, že jen to, že budu používat konkrétni OS mě před něčím ochrání.
Áno, Linux je možné napadnúť, rovnako ako v podstate každý systém. Alebo mi chcete povedať že existuje operačný systém bez jedinej softwarovej chyby? Nikde som netvrdil že Linux nemôže byť prelomený. Ak používateľ hneď prvé čo urobí je že stiahne a pustí prílohu zo správy:
"Vyhrali ste milión €, posielame Vám formulár na zadanie vašich údajom kam zaslať peniaze"
Príhloha: "NieSomVirus.pdf.exe"
Tak takému niet pomoci. A propo, v tomto ohľade je tiež Linux lepší, lebo Windows by default skrýva prípony.
Ale v Linuxu bežne keď človek inštaluje aplikáciu, tak použije oficiálny store Distra, kde sú aplikácie "overené", nie je to stopercentné, a aj tu môže malware újsť, ale aspoň nejaká kontrola tam je, čo odfiltruje aspoň väčšinu škodlivýn. U Windows to nemáš, tam cez prehliadač sťahuješ .exe či .msi bez akejkoľvek kontroly.
Celkovo obe systémy sú "nebezpečné" v rukách laikov. Ale všeobecne aj tak môžem povedať že Linux je už z podstaty ako funguje viac bezpečný.
-
Isteže.
Vnučka sa dostala na kompromitovane stránky (používa win10) a antivir hneď hlásil odstránenie vírusu bez toho aby na čokoľvek klikla.
Bezpečnost užívateľa podľa MS
Mám pochybnosti či by sa to stalo v Linuxe keď som prihlásený ako užívateľ.
Kompromitovaná webstránka má nič so systémom, kým nestiahne súbor z webstránky, tak jej to počítač nenakazí (ak odmyslíme bezpečnostné chyby prehliadačov, ktoré sú tiež dobre izolované, a zabezpečené), inak ale vo Windows by si ten vírus ani nespustil, takže určite Linux nenakazíš (jedine že by si to spustil vo Wine)
Áno, sú aj vírusy špecificky pre Linux, ale je ich minimum, a celkovo vírusy sú mŕtve, dnes ide malware.
Vieš čo, pošli mi link na tú stránku, uvidím či si nakazím počítač.
-
Bezpecnost OS nema ve skutecnosti temer zadnou souvislost s mnozstvim (nalezenych) chyb.
V takovem pripade by ve vysledku mozna byl nejbezpecnejsi system MS-DOS. S drobnou poznamkou za tam kde moderni systemy resi neprustrelnost plotu, ma proste volny prostor, s volnym pristupem kamkoliv.
Co je podle me podstatne (v poradi od nejdulezitejsiho)
1) Navrh systemu: staci jeden "exe" a muze si delat co chce, nebo je tam nekolik dalsich vrstev zabezpeceni, rizeni prav atd.? Staci jedna chyba k ovladnuti systemu?
2) Pocet uzivatelu (a jejich pokrocilost): vyplati se nekomu utocit (toto uplne neplati pro velmi cilene utoky, ale tem pri dostetecne motivaci jeden system nikdy neodola)
3) Existence a pouzivani aplikacniho obchodu (repozitare distribuce): Pokud vetsina instalovanych aplikaci pochazi z alespon nejak kontrolovaneho zdroje, je tezsi podhodit neco skodliveho
4) aktualizace
Statisticky na desktopu jsou zrejme nejbezpecnejsi MacOS a Linux. MacOS kvuli bodu 1. Zavadi cast omezeni znamych z mobilu, instalace aplikaci je stejny bordel jako na Windowsech. Linux diky bodum 2 a 3, lidi kteri se snadno nechaji oblafnout moc na Linuxu neni a takovi navic snad ani neumi nainstalovat neco mimo repozitare.
Jako dukaz pro extremni dulezitost bodu 1 je Android. Uzivatelu vseho druhu ma opravdu dost, aktualizace v prumeru zadne... Uznavam, i bod 3 tam ma vliv. Presto jsem jeste nevidel banku ktera by vice verila zabezpeceni treba Windowsu nez Androidu, a bankam jde o prachy, ty to budou mit spocitany dobre.
-
1) Navrh systemu: staci jeden "exe" a muze si delat co chce, nebo je tam nekolik dalsich vrstev zabezpeceni, rizeni prav atd.? Staci jedna chyba k ovladnuti systemu?
2) Pocet uzivatelu (a jejich pokrocilost): vyplati se nekomu utocit (toto uplne neplati pro velmi cilene utoky, ale tem pri dostetecne motivaci jeden system nikdy neodola)
3) Existence a pouzivani aplikacniho obchodu (repozitare distribuce): Pokud vetsina instalovanych aplikaci pochazi z alespon nejak kontrolovaneho zdroje, je tezsi podhodit neco skodliveho
4) aktualizace
Toto si napísal veľmi správne, ale pridal by som ešte bod o otvorenosti systému. Pri otvorenom je jednoduchšie a ľahšie nájsť chybu ako pre útočníka tak aj pre hodného človeka, ktorý chyba nahlási a tá sa opraví. Preto oprava chýb v Linuxe je rýchla. Vo výsledku za krátku dobu existencie je Windows bezpečnejší, keďže tam trvá čas chyby nájsť. Ale v dlhodobom horizonte, Linux vyhráva v bezpečnosti. Tam totiž za ten čas sú už chyby nájdené a opravené.
Takže áno, Linux vo všeobecnosti z pohľadu návrhu je bezpečnejší. Ako som hovoril.
-
Otevrenost systemu muze byt bod 5, mozna i 4 pred aktualizace, nevim. Co se tyce navrhu u Linuxu tak je nutne odlisit 2 svety. Desktop a server.
Na serveru je navrh dobry, mame SELinux ktery utocnika omezi, mame kontejnerizaci (pokud se nepouziva jako jedina vrstva, ale to je chyba spravce).
Ale na desktopu si to nemyslim, vse pod jednim uzivatelem, zadne omezeni kam muze aplikace sahnout (cizi aplikaci do dat), zpravidla si muze odesilat cokoliv kamkoliv, vetsinou povolene sudo na cokoliv... Tady mnohem vic chrani bod 4.
-
Linux nemá rýchle aktualizácie? Tak sa len tak pozriem na svoj Ubuntu a vidím včera update a hneď ďalší, a ten update obsahoval opravu chyby odhalenú pred 3 dňami. To sa ti zdá pomalé? Lebo u Windows majú pravidelné plátovanie, a teda sa čaká 2 týždne do vydania.
Určující je přeci ta nejpomalejší a ne ta nejrychlejší aktualizace. Bavím se primárně o desktopu a prostě tam to někdy trvá, nemluvě o samotné instalaci, kdy spousta distribucí nevynutí restart aplikace nebo OS, aby se oprava správně projevila.
Izolovanie, hmm, tak určite, tárate nezmysli. To môžem u Windows tiež nazvať len "snaha", v tomto smere je práve Linux viac izolovanejší a keď spustím aplikáciu v kontajnery, tak viem že neujde.... dokonca v Linuxe nebežíš pod rootom, ako vo Windows pod adminom (má vyššie práva, aj keď ani ten nie kompletné)
Považuješ kontajner na linuxu za bezpečnostní funkci? To děláš obrovskou chybu, tak prostě není navržený a tak to opravdu nefunguje. Dokud mohou se jednotlivé procesy pod jedním uživatelem ovlivňovat, dokud může prohlížeč a webová stránka upravit ~/.bashrc, je veškerá snaha vniveč. Na linuxu tě čeká spousty pastí. Pořád se bavím o desktopu.
To platí všeobecne o úplne každom systéme. Ak si nainštalujem vírus, tak mám vírus. To dáva logiku, že?
Tam ťa nezachráni žiadny systém. A antivir je nezmysel ale keď chcete, tak pre Linux je mnoho antivirov, taký známy napríklad ClamAV. Sophos je tiež voľba.
Vlákno je o bezpečném OS a já to, že tě bezpečný OS nenechá nainstalovat virus (resp. nenechá se projevit) považuji za středobot bezpečnosti. Podívej se, jak se dnes chovají a fungují mobilní OS, tam jde vidět vývoj kupředu, ne na desktopu.
Dodatek, celý svůj profesní život se věnuji linuxu, to je více než 30 let praxe, posledních 10 let se věnuji primárně jeho zabezpečení a kontrole pro krytické systémy. Prezentuji svoje zkušenosti a ne naučené poučky.
-
Určující je přeci ta nejpomalejší a ne ta nejrychlejší aktualizace. Bavím se primárně o desktopu a prostě tam to někdy trvá, nemluvě o samotné instalaci, kdy spousta distribucí nevynutí restart aplikace nebo OS, aby se oprava správně projevila.
Oprava sa správne projeví aj bez restartu, ak je na to prispôsobená. Že to nevynutí nie je chyba. A že je systém nebezpečný len preto že ho ty nereštartuješ? A to je ako bezpečné keď sa ti systém sám reštartne, a ty prídeš o dáta?
Považuješ kontajner na linuxu za bezpečnostní funkci? To děláš obrovskou chybu, tak prostě není navržený a tak to opravdu nefunguje. Dokud mohou se jednotlivé procesy pod jedním uživatelem ovlivňovat, dokud může prohlížeč a webová stránka upravit ~/.bashrc, je veškerá snaha vniveč. Na linuxu tě čeká spousty pastí. Pořád se bavím o desktopu.
No to mi teda hovor, prosím môžeš takú stránku nahrať na net a poslať mi link, rád si to otvorím, uvidíme či mi to ten ~/.bashrc zmení. Verte že nie.
Vlákno je o bezpečném OS a já to, že tě bezpečný OS nenechá nainstalovat virus (resp. nenechá se projevit) považuji za středobot bezpečnosti. Podívej se, jak se dnes chovají a fungují mobilní OS, tam jde vidět vývoj kupředu, ne na desktopu.
Na mobilnom OS to jde dopredu? Skutočne? Asi tak že v Androide v Chrome je bezpečnostná chyba už 4 roky známa, ktorá umožní stránke stiahnúť a spustiť úplne čokoľvek na zariadení? Jediné čo treba je právo "inštalovať z neznámych zdrojov", čo ale môže byť ale prelomené možnou inou chybou? Um, no to mi hovor v čom je Android či iOS bezpečnejší... práve naopak, desktop systémy sú výrazne bezpečnejšie než mobilné.
Dodatek, celý svůj profesní život se věnuji linuxu, to je více než 30 let praxe, posledních 10 let se věnuji primárně jeho zabezpečení a kontrole pro krytické systémy. Prezentuji svoje zkušenosti a ne naučené poučky.
Desktop pred 30 rokmi bol úplne v inom stave, a vaše skúsenosti s diernymi štítkami nič nehovoria o tom či viete ako funguje SSD. Takýto argument používajú bežne práve tý čo sa len chcú navyšovať nad odstatných a slepo veria v svoju jedinú pravdu.
-
Prezentuji svoje zkušenosti a ne naučené poučky.
Zažil jsem už spousty napadených desktop linuxů
Čím konkrétně byly napadené? Díky.
Opravdu mě to zajímá, linux na desktopu používám od r. 2000 a s napadeným desktopem jsem se ještě v praxi nesetkal. Nezpochybňuji to, vím, že technicky to samozřejmě lze, ale jaké byly konkrétní příklady v praxi. Předem díky.
-
Mlocik97:
tak pre Linux je mnoho antivirov, taký známy napríklad ClamAV. Sophos je tiež voľba.
Sophos Home? Tam jsou ke stažení na webu výrobce jen Mac/Win verze. Nespletl jste si to s firewallem nebo jiným produktem Sophos?
Mlocik97:
Tak takému niet pomoci. A propo, v tomto ohľade je tiež Linux lepší, lebo Windows by default skrýva prípony.
Ale v Linuxu bežne keď človek inštaluje aplikáciu, tak použije oficiálny store Distra, kde sú aplikácie "overené", nie je to stopercentné, a aj tu môže malware újsť, ale aspoň nejaká kontrola tam je, čo odfiltruje aspoň väčšinu škodlivýn. U Windows to nemáš, tam cez prehliadač sťahuješ .exe či .msi bez akejkoľvek kontroly.
Porovnáváte portal s ručním stahováním souborů. Když už takto porovnáváte, tak bych už srovnával Linux distro portal (katalog) a MS Store!
S těmi exe a msi taky nemáte pravdu. Prohlížeč varuje někdy, že stahujete z podezřelé stránky. A pokud se bavíme o OS, tak přeci Windows mají SmartScreen, který varuje, například, když je instalátor špatně/vůbec není digitálně podepsán... Plus Windows Defender.
-
Sophos Home? Tam jsou ke stažení na webu výrobce jen Mac/Win verze. Nespletl jste si to s firewallem nebo jiným produktem Sophos?
Slepota?
Porovnáváte portal s ručním stahováním souborů. Když už takto porovnáváte, tak bych už srovnával Linux distro portal (katalog) a MS Store!
MS Store je len smiešny pokus napodobniť Linux, ktorý viac nefunguje ako funguje. Preto to žiadny Windows user nepoužíva, možno len pár výnimiek. A rozhodne bezpečnejší nie je. Bežne sú tam padelky známych aplikácií, ktoré sú FOSS, ale v MS Store sú platené (a s pridanou "hodnotou" v podobe spyware, adware či inej škodnej).
S těmi exe a msi taky nemáte pravdu. Prohlížeč varuje někdy, že stahujete z podezřelé stránky. A pokud se bavíme o OS, tak přeci Windows mají SmartScreen, který varuje, například, když je instalátor špatně/vůbec není digitálně podepsán... Plus Windows Defender.
Čo má prehliadač so systémom a bezpečnosťou systému? To varuje i na Linuxu... to vôbec nesúvisí s ochranou systému, a je to vlastnosťou konkrétneho prehliadača, a len aby bolo jasné, prehliadačov je omnoho viac než len Chrome (a jeho prefarbené varianty).
Podpis? To si myslíš že malware nie je možné podpísať? To je ako tvrdenie že HTTPS/SSL znamená že webstránka je bezpečná. Argument vážne nezmyselný.
-
Nezpochybňuji to, vím, že technicky to samozřejmě lze, ale jaké byly konkrétní příklady v praxi.
Nějaký se řešil tady na Rootu https://forum.root.cz/index.php?topic=10546.0, viz též Google na "kdeinit4 backdoor" co najde maďarské fórum (https://hup.hu/node/152182). Bohužel se asi nezjistilo, kudy se to tam dostalo.
Bývaly nějaké backdoornuté balíčky v NPM a možná i v PIPu, a pak je populární backdoorovat rozšíření do prohlížečů (https://github.com/extesy/hoverzoom/discussions/670), což se stalo třeba stylishu (https://www.reddit.com/r/privacy/comments/8vq825/stylish_browser_extension_steals_all_your/)
-
Ty čísla nelze porovnávat takhle.
Pravda, ale i tak môžeme "všeobecne" povedať že Windows je výrazne menej bezpečný než Linux.
Vlhký sen tučnákistů ;-)
-
Určující je přeci ta nejpomalejší a ne ta nejrychlejší aktualizace. Bavím se primárně o desktopu a prostě tam to někdy trvá, nemluvě o samotné instalaci, kdy spousta distribucí nevynutí restart aplikace nebo OS, aby se oprava správně projevila.
Oprava sa správne projeví aj bez restartu, ak je na to prispôsobená. Že to nevynutí nie je chyba. A že je systém nebezpečný len preto že ho ty nereštartuješ? A to je ako bezpečné keď sa ti systém sám reštartne, a ty prídeš o dáta?
No tak a teď kernel a kernel heders.... Vždy tam máš info prosím restartuje pc protože kernel. Existují snahy jak podhodit jádro kvuli serverům za běhu ale zatím žádná masivka. Když se na to podívám z pohledu firmy, tak stejně pro správu linuxu musím nasadit intune,defender či něco podobného. Stejně jako když adoptuji android či IOS.
Jako rozhodně bych netvrdil že je nějaký OS nebezpečnější, jen v určitém počtu zastoupení je pro danou skupinu zajímavější k útokům. Proč jsou win v domácím prostředí "víc" napadené, je způsobeno tím že jich je prostě víc a linux y mají většinou zdatnější uživatelé. A to že se tam používá pouze jeden účet s admin právy. Samozřejmně když budu mít účet s root účtem, a strčíš ho do sudoers. Tak na tom budeš stejně.
Každý OS má svoje, ale že by byl nějaký bezpečnější.... to fakt ne
-
Zažil jsem už spousty napadených desktop linuxů
Čím konkrétně byly napadené? Díky.
Opravdu mě to zajímá, linux na desktopu používám od r. 2000 a s napadeným desktopem jsem se ještě v praxi nesetkal. Nezpochybňuji to, vím, že technicky to samozřejmě lze, ale jaké byly konkrétní příklady v praxi. Předem díky.
Je toho opravdu spousty. Viděl jsem a řešil třeba EvilGnome, stačilo spustit kód pod uživatelem a získal perzistentního daemona, který ovládal vzdáleně počítač. Šířil se jako payload u legitimní aplikací, tady za nákazu mohl překlepový balíček v pipu. Tady se to stalo u veřejných počítačů v jedné velké knihovně.
Letos třeba parazit od skupiny Kaiji. Hledá otevřené služby v dockeru a přes únik v dockeru získá kontrolu nad OS (docker a kontejnery na linux opravdu nejsou jako jail ve freebsd a nejsou určeny k zabezpečení). Za nákazu mohla web kamera v domácí síti koupená z Alíka, jak ta se nakazila jsem už neuměl zjistit, možná už v tom stavu přišla, do internetu neviděla, pouze do domácí sítě (zrovna nedávno tady na to bylo vlákno kolem web kamer, pozor na ně). Domácí stanice kolegy v práci.
Napadání desktopů na linuxu výrazně roste, hlavní problém je, že spousta služeb a aplikací běží pod jedním uživatelem a celá bezpečnost linuxu je založena na izolaci uživatelů a ne procesů, uid mapování v kontejnerech (např. snap) s app arrmor/selinux je super, ale velká spousta aplikací ještě tak neběží.
Stačí se podívat jaké zranitelnosti se opravovali v minulosti, např. Firefox CVE-2022-1802 znamenal, že kdokoliv, kdo mohl spustit JS v prohlížeči, mohl spustit libovolný kód jako firefox uživatel, což na desktopu je přihlášený uživatel (snap a jiné věci by mohly vektor útoků snížit).
Nebo letošní Chrome CVE-2023-0471, opět vzdálené spustění kódu pod právy procesu Chrome, pro desktop fatální problém.
Stejně tak jsou na vzestupu útoky na balíčkovací systémy (npm, pip, docker vévodí). U těhle balíčkovacích systémů nejsou žádné velké automatické kontroly, propašované překlepové balíčky nebo napadené vývojářské účty jsou časté. A ono to člověk jednou postihne. U CI deploymentů nám to nevadí, běží to izolovaně a kontroluje se chování, ale uživatelé běžně instalují věci pod svým přihlášeným účtem, spouští na linuxu přímo pod svým uživatelem, npm i pip zároveň spouští při instalaci balíčku libovolný kód.
Oprava sa správne projeví aj bez restartu, ak je na to prispôsobená. Že to nevynutí nie je chyba. A že je systém nebezpečný len preto že ho ty nereštartuješ? A to je ako bezpečné keď sa ti systém sám reštartne, a ty prídeš o dáta?
U drtivé většiny aplikací a i samotného kernelu nikoliv. Ukaž příklady, prosím. Není pořád běžné, aby aplikacen a linuxu se sama bez restartu přepsala v paměti. Na to jsou docela složité procesy s forkem a přechodem na nový runtime. Windows při aktualizaci nějakého souboru vynucuje ukončení procesu, který ten soubor používá, na linuxu se soubor bez problémů přepíše na disku, ale aplikace si drží otevřený ještě ten původní a musí si ho sama znovu otevřít (OS jí o změně ani nijak aktivně neinformuje). Na fedoře k tomu máme třeba program dnf needs-restarting, na ubuntu reboot-required (a případně přímo soubor /var/run/reboot-required.pkgs). Případně se dá zabrousit do výstup lsof a podívat se, který otevřený soubor změnil svůj obsah.
-
_Tomáš_
Co se tyce napadeni Linuxovych desktopu, tak nekde jsem cetl (nejspis i tady na Rootu), ze v Turecku pri stahovani oblibeneho bezneho balicku (klasicka instalace) v procesu stahovani samotny internetovy poskytovatel presmeruje pripojeni (Man in the middle) a stahne se instalacni balicek upraveny o mallware (napr. sledovaci program).
Uzivatel nema za bezneho provozu sanci nic poznat. Podle popisu se ale instalacni balicek musel stahovat prez nezabezpecene http. Prez https by to timto zpusobem neslo.
-
O Turecku nevím, ale takovýhle postup je známý, viz je třeba po krokách popsaný tady https://versprite.com/vs-labs/apt-mitm-package-injection/.
A myslíš, že dnešní linux distribuce už používají jen a pouze http? Vtipné, viz oficiální stránka Ubuntu https://packages.ubuntu.com/ nebo tady výpis všech mirror https://launchpad.net/ubuntu/+archivemirrors, http je docela běžné.
Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.
-
_Tomáš_
Co se tyce napadeni Linuxovych desktopu, tak nekde jsem cetl (nejspis i tady na Rootu), ze v Turecku pri stahovani oblibeneho bezneho balicku (klasicka instalace) v procesu stahovani samotny internetovy poskytovatel presmeruje pripojeni (Man in the middle) a stahne se instalacni balicek upraveny o mallware (napr. sledovaci program).
Ano, o tom jsme tu měli článek: Vlády přesměrovávají uživatele na software doplněný o malware
(https://www.root.cz/clanky/vlady-presmerovavaji-uzivatele-na-software-doplneny-o-malware/)
Vtipné, viz oficiální stránka Ubuntu nebo tady výpis všech mirror, http je docela běžné. Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.
Jenže tady to HTTP vůbec nevadí, protože ty balíčky jsou podepsané každý zvlášť vývojáři dané distribuce. Pak je úplně jedno, odkud se stahují, protože provozovatel zrcadla nedokáže vyrobit svůj podvržený balíček a podstrčit ho uživateli do systému.
-
Vtipné, viz oficiální stránka Ubuntu nebo tady výpis všech mirror, http je docela běžné. Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.
Jenže tady to HTTP vůbec nevadí, protože ty balíčky jsou podepsané každý zvlášť vývojáři dané distribuce. Pak je úplně jedno, odkud se stahují, protože provozovatel zrcadla nedokáže vyrobit svůj podvržený balíček a podstrčit ho uživateli do systému.
A jakpak se ten Release.gpg do toho systému dostane, aby se podle něho ověřily podpisy u balíčků? :) Tady je ten kámen úrazu, on se totiž stahuje také z toho http.
Ano, distribuce zpravidla přichází s předkonfigurovaným keyringem, ale třeba Debian je každý rok rotuje. Mysli na to, že pokud útočník má možnost podvrhnout celý repositář vč. metadat, může si sám udělat vlastní GPG key id a tím podepsat svůj podvržený balíček. Bavíme se i o spoustě dalších repositářů na SW, který se tak běžně distribuuje.
Stejně tak si představ útočník, který prostě čeká, sleduje provoz a až se naskytne ta správná kombinace provozu, teprve tehdy začne obsah podvrhávat, http repository pro apt není na tenhle typ útoku odolné. Může třeba čekat na situaci, kdy si budu chtít aktualizovat distribuci nebo si přidám nový apt source.
Rozumíme si?
-
A jakpak se ten Release.gpg do toho systému dostane, aby se podle něho ověřily podpisy u balíčků?
no, pokud máš Ubuntu, tak mám dojem, že jsou v deb ubuntu-keyring.
Jak se balíčky ověřují psal Petr Krčmář výše.
Takže bez kompromitace private klíčů od distra, nebo naopak infikace počítače otrávenými gpg keyringy se nový falešný balíček (např. s keyringem) do systému cpe špatně.
-
Ano, distribuce zpravidla přichází s předkonfigurovaným keyringem, ale třeba Debian je každý rok rotuje. [...] Může třeba čekat na situaci, kdy si budu chtít aktualizovat distribuci
Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ, nové klíče se bezpečně nainstalují automaticky.
nebo si přidám nový apt source
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).
-
Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ, nové klíče se bezpečně nainstalují automaticky.
Pokud ho cestou podvrhnu, tak mi je přece jedno kým je podepsaný, když si tam přidám svůj, stejně jak si tam přidám svůj balíček.
Ano, distribuce zpravidla přichází
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).
Vždyť ani samo Ubuntu nemá instrukce s https a je tam spousta http použití.
-
Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ, nové klíče se bezpečně nainstalují automaticky.
Pokud ho cestou podvrhnu, tak mi je přece jedno kým je podepsaný, když si tam přidám svůj, stejně jak si tam přidám svůj balíček.
Jak podvrhneš? To funguje tak že se aktualizuje balíček debian-archive-keyring, který je podepsaný jako všechny ostatní balíčky.
Ano, distribuce zpravidla přichází
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).
Vždyť ani samo Ubuntu nemá instrukce s https a je tam spousta http použití.
Nerozumím. Já z Ubuntu používám PPA, příklad (https://launchpad.net/~kicad/+archive/ubuntu/kicad-7.0-releases), stránka na HTTPS (dokonce i repozitář, ale to není potřeba), v "Technical details about this PPA" fingerprint klíče (na této HTTPS stránce) a odkaz na keyserver který je taky po HTTPS.
Další příklad, Grafana (https://grafana.com/docs/grafana/latest/setup-grafana/installation/debian/), instrukce na HTTPS stránce, klíč stahují z https://apt.grafana.com/. Google cloud (https://cloud.google.com/sdk/docs/install) totéž, projekty na openSUSE Build Service (https://software.opensuse.org/download.html?project=home%3Atumic%3AGPXSee&package=gpxsee) totéž, atd.