hodne OT: Linux a viry
Thomas Shaddack
hwnews@shaddack.mauriceward.com
Pátek Březen 25 11:22:33 CET 2005
On Fri, 25 Mar 2005 mjfox@centrum.cz wrote:
> Na druhou stranu muzeme jen spekulovat, jestli by se vsichni Linuxaci
> priznali, ze chytli virus, dal kolik pocitacu by se asi skutecne mohlo
> nakazit (= na kolika je ted Linux nainstalovany jako alternativa k
> Widlim) atd.
Reprezentativni priklady: Slapper, Lion, Ramen. Je jich vic.
http://www.wired.com/news/linux/0,1411,55172,00.html?tw=wn_story_related
http://www.symantec.com/avcenter/venc/data/linux.lion.worm.html
http://www.symantec.com/avcenter/venc/data/linux.ramen.worm.html
Jsou dobre srovnatelne s wokennimi cervy; napadaji servery, kde je
distribuce wokna/linux zhruba pul na pul. Na rozdil od masin desktopovych,
kde je distribuce odlisna (zatim), coz se casto mylne pouziva jako
argument.
(Jo a jeste Cheese worm, ktery je anticervem na Lion, a napada a patchuje
napadene masiny.)
Zde se nazorne ukazuje, ze zatimco oba systemy jsou potencialne
napadnutelne, Linux vyhrava jako podstatne robustnejsi; zatimco o zminene
trojici cervu slyseli vicemene jen nekteri administratori, jmena Code Red,
Nimda, Slammer jsou vseobecne znama - zejmena vzhledem k podstatne vyssimu
mnozstvi uspesne napadenych cilu. Tyto cervy byly zvoleny jako
reprezentativni priklad, nebot stejne jako vybrane Linuxove priklady
napadaji servery. Doted muj IDS hlasi mraky a mraky pokusu o pripojeni na
port 1433, kde byva umisten MSSQL - oblibeny to cil cerva Slammer.
Duvodu teto disparity je nekolik. Mezi nejdulezitejsi patri pomerne
zastoupeni rychlokvasenych administratoru Windows, jez si mysli, ze kdyz
umi tahat mysickou a naklikat aby to nejak chodilo, umi administrovat
server (tzv. Minesweeper-Certified Solitaire Experts), az donedavna
naprosta nepritomnost firewallu v defaultni instalaci (a i ten slavny XP
SP2 firewall se s tim nijak extra nemaze a jeho funkce je zejmena
umoznit Billovi aby tvrdil, ze ma firewall (po tolika letech)), milion
sluzeb bezicich by default a exponovanych do Site (vs. neprovozovani
niceho co nemusi bezet - zde je to distribuci od distribuce ruzne, napr. u
RedHatu se musi par veci po instalaci povypinat, ale neni to tak zle),
absence chroot pod Windows (alespon ja nevim jak), pomerna jednoduchost
pro privilege escalation pod Windows, uzavrenost kernelu Windows (takze
bye bye security patches), a mnoho a mnoho dalsich druhu problemu.
Velmi dulezitym rozdilem je zde (ne)dostupnost zdrojoveho kodu pro tu
kterou platformu. Mate-li zdrojak, cela komunita muze pracovat na patchi
kdyz se objevi dira, nebo i na patchi kdyz se dira neobjevi ale mohla by.
Mnohe programy umoznuji pri kompilaci nastavit co se ma a nema do programu
prikompilovat za featury, coz opet muze zvysit bezpecnost (aneb kdyz to
nepotrebuji, nepouziji). Takze at jiz jde o bug nebo o feature request,
uzivatele/administratori nejsou odkazani na libovuli Hamizne
Megakorporace.
Dalsim problemem jsou Windows Registry. Puvodne mozna dobry napad, lec
realizace ponekud pokulhavajici. Porovnam-li jednoduchost zalohovani a
migrace a editace konfiguraci softwaru pri pouziti Registru a pri pouziti
hromady malych textovych souboru v /etc, vyhrava /etc bez ztraty kyticky.
(Mimo jine proto, ze si mohu do prislusnych souboru napsat komentare proc
jsem tu kterou zmenu delal, a puvodni konfig si ponechat budto
zakomentovany, nebo prislusny soubor zazalohovat. V Registrech totez jde
dost blbe, pokud vubec.)
Co ja osobne povazuji za obzvlaste nechutne a praci pridelavajici prikori
je naprosta absence zakladnich tools jako strace, ltrace, a tcpdump ze
standardni distribuce Windows, stejne jako pateticky pokus o commandline
shell ("cmd.exe"), jez neni hoden bashi ani boty vycistit. Fuj.
Další informace o konferenci Hw-list