<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
No tohle je pro mě nepochopitelný, proč když 386 a dál, větší ARMy a
všechny další CPU u kterých má smysl normální OS, mají HW memory
management s oddělenými adresními prostory programu, dat a
zásobníku, ...<br>
Microsoft to snadno moh udělat když dělal Windows NT, ale neudělal.<br>
Linux začal na zelený louce a zase nic.<br>
Proč?<br>
<br>
PH<br>
<br>
<div class="moz-cite-prefix">Dne 14.02.2025 v 11:53 Pavel Kořenský
napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:3b509fc4-ca95-482a-a21e-a6b12a4708d0@dator3.cz">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<div class="moz-cite-prefix">Zdravím,</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">to opravdu není v lidských
možnostech. Kdyby to možné bylo, tak by to například Microsoft
asi měl a nemusel by vydávat každé druhé úterý v měsíci
pravidelný bezpečnostní update který záplatuje 50 - 150 chyb z
nichž pravidelně je tak pět až deset kritických a nejméně jedna
bývá "0-day".</div>
<div class="moz-cite-prefix">U Linuxu je to jen o málo lepší a
občas se stává, že na nějakou kritickou chybu se přijde po mnoha
letech. Což bývá maximální průšvih, pokud je ta chyba v nějaké
knihovně, která se často používá. Třeba Log4J nebo SSL/SSH a
podobně.</div>
<div class="moz-cite-prefix">Ono je to částečně dané tím, že
drtivá většina operačních systémů je psaná v C/C++, které zrovna
nevynikají bezpečností. Proto se v posledních cca. 2 - 3 letech
objevuje docela silný tlak na to přepsat kernely třeba v jazyku
Rust, kde je základní úroveň bezpečnosti součástí samotné
definice jazyka. Ale naráží to na problém, že toho kódu je
jednak moc (celá desetiletí práce) a za druhé některé věci jsou
prostě příliš pomalé, pokud nejsou psané v C/C++ nebo přímo v
assembleru.</div>
<div class="moz-cite-prefix">No a to už se dostáváme k tomu, zda
je vůbec možné teoreticky zaručit 100% bezpečnost na von
Neumannově architektuře která se v počítačích používá. A na to
neumí nikdo odpovědět a filosofické disputace z této oblasti
bývají celkem často námětem přednášek na mezinárodních
konferencích.</div>
<div class="moz-cite-prefix">Harvardská architektura (jako má
třeba PIC nebo AVR) je o hodně bezpečnější protože program a
data jsou striktně oddělené, ale zase má jiné nevýhody. Nevím
přesně jaké, ale faktem je, že mimo mikrokontroléry a
specialisované DSP procesory se příliš neujala. <br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">Zdraví PavelK</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">Dne 14.02.2025 v 11:24 Martin Záruba
napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:bcb304fe-3cef-4d99-92f2-f6f33dcaba7c@volny.cz">
<meta http-equiv="Content-Type"
content="text/html; charset=UTF-8">
<p><font face="Arial">Vubec tomuto oboru nerozumím, tak se
zeptám hloupě; Je ten systém tak složitý, že není možné
jakoukoli simulací nebo nějak jinak zajistit, že tam opravdu
ty díry nebudou?</font><br>
</p>
<pre class="moz-signature" cols="72">Martin Záruba</pre>
<div class="moz-cite-prefix">Dne 14.2.2025 v 10:07 Pavel
Kořenský napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:8c32b617-3e10-4ea5-a1bb-0a57e64115e8@dator3.cz">Zdravím,
<br>
<br>
pokud vím (nestíhám studovat do hloubky úplně všechny
nejnovější informace) tak snapshoty na Synology jsou zatím
bezpečné. Tím "zatím" myslím to, že nevím o žádném malware,
který by někdo napsal cíleně pro Synology resp. její DSM 7.x
operační systém. Nějaký pokus byl kdysi pro DSM 6.x, ale tu
díru Synology zazáplatovala velmi rychle. To, že jsou
snapshoty read-only zase tak moc neznamená. Pokud systém umí
snapshot vytvořit a smazat, musí umět i zapsat. Jde jen o to
najít díru, která povede ke spuštění kódu a následné eskalaci
práv. U Synology to zatím nikomu nestálo za to aby to cíleně
hledal a zkoušel. <br>
Jiná situace je třeba u VMWare, kde existuje několik druhů
malware, které právě po snapshotech jdou. A když VMWare jednu
díru zalepí, útočníci hledají další a když jí najdou, je to
nová "0-day" chyba a kolečko se opakuje. Důvod je ten, že
VMWare používají velcí zákazníci u kterých lze očekávat, že
případně zaplatí tučné výkupné. <br>
<br>
Je to bohužel neustálý boj, protože z ransomware se stal
regulérní mafiánský bussiness ve kterém se krom obyčejných
sprostých zločinců pohybují i státem vytvářené a placené
skupiny. Zejména třeba pro KLDR je ransomware významným
zdrojem devizových příjmů. <br>
<br>
Zdraví PavelK <br>
<br>
Dne 14.02.2025 v 8:50 Martin Hanek napsal(a): <br>
<blockquote type="cite">Jak se díváte na snaphoty na btrfs na
Synology NAS? Moje, snad správná, představa je ta, že kdyby
někomu ve firmě napadl ramsonware počítač a ten zašifroval
sdílené disky, tak snapshoty zůstanou nedotčené? Jsou read
only? <br>
<br>
Martin Hanek <br>
<br>
<br>
Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a): <br>
<blockquote type="cite">Zdravím, <br>
<br>
nevím o tom, že by se to někomu povedlo. Matně si
pamatuju, že před pár lety tam byl nějaký problém s
nedostatečným zabezpečením hesla či certifikátu, ale
Synology to celkem rychle zazáplatovala. <br>
Nicméně, jak vždy platí v oblasti IT Security, co je
pravda dnes nemusí být pravda zítra. Ale taky to používám
a jsem celkem v klidu. <br>
Jak jsem už psal, při používání podobných prostředků
nejspíš při plošném ransomware útoku k zašifrování či
smazání záloh nedojde (není to jako připojit si síťový
disk pomocí SMB a nalejvat na něj kopie souborů) a stačí
udělat restore ze zálohy před útokem. Nejlépe hodně dost
dnů před útokem, protože některé ransomware mají ošklivou
vlastnost v tom smyslu, že se usadí v systému, počkají pár
měsíců a pak se aktivují. <br>
Pokud by útok způsobil, že dojde k zašifrování zálohy
třeba na tom Active Backup, tak to není plošné, ale jde o
cílený (a velmi drahý) útok na konkrétní infrastrukturu. A
to je patrně věc nějaké státem placené APT a tudíž případ
pro písmenkové agentury a o tom opravdu nemohu a nesmím
mluvit. Ale v takovém případě to bude řešit někdo úplně
jiný než lokální admin. Problém lokálního admina bude jen
v tom, jestli nezanedbal nějaký bezpečnostní update. Pokud
nezanedbal, tak je z obliga. <br>
<br>
Zdraví PavelK <br>
<br>
Dne 13.02.2025 v 22:50 Michal Grunt napsal(a): <br>
<blockquote type="cite">A co takove Synology a Active
Backup for Business. Už to někdo dokázal napadnout a vše
zrušit? (pri předpokladu, že není zapnuté SSH, nejsou
nainstalovane žádné kontejnery, zbytečně balicky, nikdo
neexperimentoval s pravy na slozku ABB atd.) <br>
<br>
</blockquote>
</blockquote>
_______________________________________________ <br>
HW-list mailing list - sponsored by <a
class="moz-txt-link-abbreviated" href="http://www.HW.cz"
moz-do-not-send="true">www.HW.cz</a> <br>
<a class="moz-txt-link-abbreviated moz-txt-link-freetext"
href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
<br>
<a class="moz-txt-link-freetext"
href="http://list.hw.cz/mailman/listinfo/hw-list"
moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
<br>
</blockquote>
<br>
<br>
_______________________________________________ <br>
HW-list mailing list - sponsored by <a
class="moz-txt-link-abbreviated" href="http://www.HW.cz"
moz-do-not-send="true">www.HW.cz</a> <br>
<a class="moz-txt-link-abbreviated moz-txt-link-freetext"
href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
<br>
<a class="moz-txt-link-freetext"
href="http://list.hw.cz/mailman/listinfo/hw-list"
moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
<br>
</blockquote>
<br>
<fieldset class="moz-mime-attachment-header"></fieldset>
<pre wrap="" class="moz-quote-pre">_______________________________________________
HW-list mailing list - sponsored by <a
class="moz-txt-link-abbreviated" href="http://www.HW.cz"
moz-do-not-send="true">www.HW.cz</a>
<a class="moz-txt-link-abbreviated moz-txt-link-freetext"
href="mailto:Hw-list@list.hw.cz" moz-do-not-send="true">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext"
href="http://list.hw.cz/mailman/listinfo/hw-list"
moz-do-not-send="true">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
</blockquote>
<p><br>
</p>
<br>
<fieldset class="moz-mime-attachment-header"></fieldset>
<pre wrap="" class="moz-quote-pre">_______________________________________________
HW-list mailing list - sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
</blockquote>
<br>
</body>
</html>