<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    No tohle je pro mě nepochopitelný, proč když 386 a dál, větší ARMy a
    všechny další CPU u kterých má smysl normální OS, mají HW memory
    management s oddělenými adresními prostory programu, dat a
    zásobníku, ...<br>
    Microsoft to snadno moh udělat když dělal Windows NT, ale neudělal.<br>
    Linux začal na zelený louce a zase nic.<br>
    Proč?<br>
    <br>
    PH<br>
    <br>
    <div class="moz-cite-prefix">Dne 14.02.2025 v 11:53 Pavel Kořenský
      napsal(a):<br>
    </div>
    <blockquote type="cite"
      cite="mid:3b509fc4-ca95-482a-a21e-a6b12a4708d0@dator3.cz">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <div class="moz-cite-prefix">Zdravím,</div>
      <div class="moz-cite-prefix"><br>
      </div>
      <div class="moz-cite-prefix">to opravdu není v lidských
        možnostech. Kdyby to možné bylo, tak by to například Microsoft
        asi měl a nemusel by vydávat každé druhé úterý v měsíci
        pravidelný bezpečnostní update který záplatuje 50 - 150 chyb z
        nichž pravidelně je tak pět až deset kritických a nejméně jedna
        bývá "0-day".</div>
      <div class="moz-cite-prefix">U Linuxu je to jen o málo lepší a
        občas se stává, že na nějakou kritickou chybu se přijde po mnoha
        letech. Což bývá maximální průšvih, pokud je ta chyba v nějaké
        knihovně, která se často používá. Třeba Log4J nebo SSL/SSH a
        podobně.</div>
      <div class="moz-cite-prefix">Ono je to částečně dané tím, že
        drtivá většina operačních systémů je psaná v C/C++, které zrovna
        nevynikají bezpečností. Proto se v posledních cca. 2 - 3 letech
        objevuje docela silný tlak na to přepsat kernely třeba v jazyku
        Rust, kde je základní úroveň bezpečnosti součástí samotné
        definice jazyka. Ale naráží to na problém, že toho kódu je
        jednak moc (celá desetiletí práce) a za druhé některé věci jsou
        prostě příliš pomalé, pokud nejsou psané v C/C++ nebo přímo v
        assembleru.</div>
      <div class="moz-cite-prefix">No a to už se dostáváme k tomu, zda
        je vůbec možné teoreticky zaručit 100% bezpečnost na von
        Neumannově architektuře která se v počítačích používá. A na to
        neumí nikdo odpovědět a filosofické disputace z této oblasti
        bývají celkem často námětem přednášek na mezinárodních
        konferencích.</div>
      <div class="moz-cite-prefix">Harvardská architektura (jako má
        třeba PIC nebo AVR) je o hodně bezpečnější protože program a
        data jsou striktně oddělené, ale zase má jiné nevýhody. Nevím
        přesně jaké, ale faktem je, že mimo mikrokontroléry a
        specialisované DSP procesory se příliš neujala. <br>
      </div>
      <div class="moz-cite-prefix"><br>
      </div>
      <div class="moz-cite-prefix">Zdraví PavelK</div>
      <div class="moz-cite-prefix"><br>
      </div>
      <div class="moz-cite-prefix"><br>
      </div>
      <div class="moz-cite-prefix">Dne 14.02.2025 v 11:24 Martin Záruba
        napsal(a):<br>
      </div>
      <blockquote type="cite"
        cite="mid:bcb304fe-3cef-4d99-92f2-f6f33dcaba7c@volny.cz">
        <meta http-equiv="Content-Type"
          content="text/html; charset=UTF-8">
        <p><font face="Arial">Vubec tomuto oboru nerozumím, tak se
            zeptám hloupě; Je ten systém tak složitý, že není možné
            jakoukoli simulací nebo nějak jinak zajistit, že tam opravdu
            ty díry nebudou?</font><br>
        </p>
        <pre class="moz-signature" cols="72">Martin Záruba</pre>
        <div class="moz-cite-prefix">Dne 14.2.2025 v 10:07 Pavel
          Kořenský napsal(a):<br>
        </div>
        <blockquote type="cite"
          cite="mid:8c32b617-3e10-4ea5-a1bb-0a57e64115e8@dator3.cz">Zdravím,
          <br>
          <br>
          pokud vím (nestíhám studovat do hloubky úplně všechny
          nejnovější informace) tak snapshoty na Synology jsou zatím
          bezpečné. Tím "zatím" myslím to, že nevím o žádném malware,
          který by někdo napsal cíleně pro Synology resp. její DSM 7.x
          operační systém. Nějaký pokus byl kdysi pro DSM 6.x, ale tu
          díru Synology zazáplatovala velmi rychle. To, že jsou
          snapshoty read-only zase tak moc neznamená. Pokud systém umí
          snapshot vytvořit a smazat, musí umět i zapsat. Jde jen o to
          najít díru, která povede ke spuštění kódu a následné eskalaci
          práv. U Synology to zatím nikomu nestálo za to aby to cíleně
          hledal a zkoušel. <br>
          Jiná situace je třeba u VMWare, kde existuje několik druhů
          malware, které právě po snapshotech jdou. A když VMWare jednu
          díru zalepí, útočníci hledají další a když jí najdou, je to
          nová "0-day" chyba a kolečko se opakuje. Důvod je ten, že
          VMWare používají velcí zákazníci u kterých lze očekávat, že
          případně zaplatí tučné výkupné. <br>
          <br>
          Je to bohužel neustálý boj, protože z ransomware se stal
          regulérní mafiánský bussiness ve kterém se krom obyčejných
          sprostých zločinců pohybují i státem vytvářené a placené
          skupiny. Zejména třeba pro KLDR je ransomware významným
          zdrojem devizových příjmů. <br>
          <br>
          Zdraví PavelK <br>
          <br>
          Dne 14.02.2025 v 8:50 Martin Hanek napsal(a): <br>
          <blockquote type="cite">Jak se díváte na snaphoty na btrfs na
            Synology NAS? Moje, snad správná, představa je ta, že kdyby
            někomu ve firmě napadl ramsonware počítač a ten zašifroval
            sdílené disky, tak snapshoty zůstanou nedotčené? Jsou read
            only? <br>
            <br>
            Martin Hanek <br>
            <br>
            <br>
            Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a): <br>
            <blockquote type="cite">Zdravím, <br>
              <br>
              nevím o tom, že by se to někomu povedlo. Matně si
              pamatuju, že před pár lety tam byl nějaký problém s
              nedostatečným zabezpečením hesla či certifikátu, ale
              Synology to celkem rychle zazáplatovala. <br>
              Nicméně, jak vždy platí v oblasti IT Security, co je
              pravda dnes nemusí být pravda zítra. Ale taky to používám
              a jsem celkem v klidu. <br>
              Jak jsem už psal, při používání podobných prostředků
              nejspíš při plošném ransomware útoku k zašifrování či
              smazání záloh nedojde (není to jako připojit si síťový
              disk pomocí SMB a nalejvat na něj kopie souborů) a stačí
              udělat restore ze zálohy před útokem. Nejlépe hodně dost
              dnů před útokem, protože některé ransomware mají ošklivou
              vlastnost v tom smyslu, že se usadí v systému, počkají pár
              měsíců a pak se aktivují. <br>
              Pokud by útok způsobil, že dojde k zašifrování zálohy
              třeba na tom Active Backup, tak to není plošné, ale jde o
              cílený (a velmi drahý) útok na konkrétní infrastrukturu. A
              to je patrně věc nějaké státem placené APT a tudíž případ
              pro písmenkové agentury a o tom opravdu nemohu a nesmím
              mluvit. Ale v takovém případě to bude řešit někdo úplně
              jiný než lokální admin. Problém lokálního admina bude jen
              v tom, jestli nezanedbal nějaký bezpečnostní update. Pokud
              nezanedbal, tak je z obliga. <br>
              <br>
              Zdraví PavelK <br>
              <br>
              Dne 13.02.2025 v 22:50 Michal Grunt napsal(a): <br>
              <blockquote type="cite">A co takove Synology a Active
                Backup for Business. Už to někdo dokázal napadnout a vše
                zrušit? (pri předpokladu, že není zapnuté SSH, nejsou
                nainstalovane žádné kontejnery, zbytečně balicky, nikdo
                neexperimentoval s pravy na slozku ABB atd.) <br>
                <br>
              </blockquote>
            </blockquote>
            _______________________________________________ <br>
            HW-list mailing list  -  sponsored by <a
              class="moz-txt-link-abbreviated" href="http://www.HW.cz"
              moz-do-not-send="true">www.HW.cz</a> <br>
            <a class="moz-txt-link-abbreviated moz-txt-link-freetext"
              href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
            <br>
            <a class="moz-txt-link-freetext"
              href="http://list.hw.cz/mailman/listinfo/hw-list"
              moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
            <br>
          </blockquote>
          <br>
          <br>
          _______________________________________________ <br>
          HW-list mailing list  -  sponsored by <a
            class="moz-txt-link-abbreviated" href="http://www.HW.cz"
            moz-do-not-send="true">www.HW.cz</a> <br>
          <a class="moz-txt-link-abbreviated moz-txt-link-freetext"
            href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
          <br>
          <a class="moz-txt-link-freetext"
            href="http://list.hw.cz/mailman/listinfo/hw-list"
            moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
          <br>
        </blockquote>
        <br>
        <fieldset class="moz-mime-attachment-header"></fieldset>
        <pre wrap="" class="moz-quote-pre">_______________________________________________
HW-list mailing list  -  sponsored by <a
        class="moz-txt-link-abbreviated" href="http://www.HW.cz"
        moz-do-not-send="true">www.HW.cz</a>
<a class="moz-txt-link-abbreviated moz-txt-link-freetext"
        href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext"
        href="http://list.hw.cz/mailman/listinfo/hw-list"
        moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
      </blockquote>
      <p><br>
      </p>
      <br>
      <fieldset class="moz-mime-attachment-header"></fieldset>
      <pre wrap="" class="moz-quote-pre">_______________________________________________
HW-list mailing list  -  sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>