Win11 - Obnovenie nastaveni

Pavel Hudeček edizon na seznam.cz
Pátek Únor 14 14:09:28 CET 2025 

No tohle je pro mě nepochopitelný, proč když 386 a dál, větší ARMy a 
všechny další CPU u kterých má smysl normální OS, mají HW memory 
management s oddělenými adresními prostory programu, dat a zásobníku, ...
Microsoft to snadno moh udělat když dělal Windows NT, ale neudělal.
Linux začal na zelený louce a zase nic.
Proč?

PH

Dne 14.02.2025 v 11:53 Pavel Kořenský napsal(a):
> Zdravím,
>
> to opravdu není v lidských možnostech. Kdyby to možné bylo, tak by to 
> například Microsoft asi měl a nemusel by vydávat každé druhé úterý v 
> měsíci pravidelný bezpečnostní update který záplatuje 50 - 150 chyb z 
> nichž pravidelně je tak pět až deset kritických a nejméně jedna bývá 
> "0-day".
> U Linuxu je to jen o málo lepší a občas se stává, že na nějakou 
> kritickou chybu se přijde po mnoha letech. Což bývá maximální průšvih, 
> pokud je ta chyba v nějaké knihovně, která se často používá. Třeba 
> Log4J nebo SSL/SSH a podobně.
> Ono je to částečně dané tím, že drtivá většina operačních systémů je 
> psaná v C/C++, které zrovna nevynikají bezpečností. Proto se v 
> posledních cca. 2 - 3 letech objevuje docela silný tlak na to přepsat 
> kernely třeba v jazyku Rust, kde je základní úroveň bezpečnosti 
> součástí samotné definice jazyka. Ale naráží to na problém, že toho 
> kódu je jednak moc (celá desetiletí práce) a za druhé některé věci 
> jsou prostě příliš pomalé, pokud nejsou psané v C/C++ nebo přímo v 
> assembleru.
> No a to už se dostáváme k tomu, zda je vůbec možné teoreticky zaručit 
> 100% bezpečnost na von Neumannově architektuře která se v počítačích 
> používá. A na to neumí nikdo odpovědět a filosofické disputace z této 
> oblasti bývají celkem často námětem přednášek na mezinárodních 
> konferencích.
> Harvardská architektura (jako má třeba PIC nebo AVR) je o hodně 
> bezpečnější protože program a data jsou striktně oddělené, ale zase má 
> jiné nevýhody. Nevím přesně jaké, ale faktem je, že mimo 
> mikrokontroléry a specialisované DSP procesory se příliš neujala.
>
> Zdraví PavelK
>
>
> Dne 14.02.2025 v 11:24 Martin Záruba napsal(a):
>>
>> Vubec tomuto oboru nerozumím, tak se zeptám hloupě; Je ten systém tak 
>> složitý, že není možné jakoukoli simulací nebo nějak jinak zajistit, 
>> že tam opravdu ty díry nebudou?
>>
>> Martin Záruba
>> Dne 14.2.2025 v 10:07 Pavel Kořenský napsal(a):
>>> Zdravím,
>>>
>>> pokud vím (nestíhám studovat do hloubky úplně všechny nejnovější 
>>> informace) tak snapshoty na Synology jsou zatím bezpečné. Tím 
>>> "zatím" myslím to, že nevím o žádném malware, který by někdo napsal 
>>> cíleně pro Synology resp. její DSM 7.x operační systém. Nějaký pokus 
>>> byl kdysi pro DSM 6.x, ale tu díru Synology zazáplatovala velmi 
>>> rychle. To, že jsou snapshoty read-only zase tak moc neznamená. 
>>> Pokud systém umí snapshot vytvořit a smazat, musí umět i zapsat. Jde 
>>> jen o to najít díru, která povede ke spuštění kódu a následné 
>>> eskalaci práv. U Synology to zatím nikomu nestálo za to aby to 
>>> cíleně hledal a zkoušel.
>>> Jiná situace je třeba u VMWare, kde existuje několik druhů malware, 
>>> které právě po snapshotech jdou. A když VMWare jednu díru zalepí, 
>>> útočníci hledají další a když jí najdou, je to nová "0-day" chyba a 
>>> kolečko se opakuje. Důvod je ten, že VMWare používají velcí 
>>> zákazníci u kterých lze očekávat, že případně zaplatí tučné výkupné.
>>>
>>> Je to bohužel neustálý boj, protože z ransomware se stal regulérní 
>>> mafiánský bussiness ve kterém se krom obyčejných sprostých zločinců 
>>> pohybují i státem vytvářené a placené skupiny. Zejména třeba pro 
>>> KLDR je ransomware významným zdrojem devizových příjmů.
>>>
>>> Zdraví PavelK
>>>
>>> Dne 14.02.2025 v 8:50 Martin Hanek napsal(a):
>>>> Jak se díváte na snaphoty na btrfs na Synology NAS? Moje, snad 
>>>> správná, představa je ta, že kdyby někomu ve firmě napadl 
>>>> ramsonware počítač a ten zašifroval sdílené disky, tak snapshoty 
>>>> zůstanou nedotčené? Jsou read only?
>>>>
>>>> Martin Hanek
>>>>
>>>>
>>>> Dne 13.02.2025 v 23:23 Pavel Kořenský napsal(a):
>>>>> Zdravím,
>>>>>
>>>>> nevím o tom, že by se to někomu povedlo. Matně si pamatuju, že 
>>>>> před pár lety tam byl nějaký problém s nedostatečným zabezpečením 
>>>>> hesla či certifikátu, ale Synology to celkem rychle zazáplatovala.
>>>>> Nicméně, jak vždy platí v oblasti IT Security, co je pravda dnes 
>>>>> nemusí být pravda zítra. Ale taky to používám a jsem celkem v klidu.
>>>>> Jak jsem už psal, při používání podobných prostředků nejspíš při 
>>>>> plošném ransomware útoku k zašifrování či smazání záloh nedojde 
>>>>> (není to jako připojit si síťový disk pomocí SMB a nalejvat na něj 
>>>>> kopie souborů) a stačí udělat restore ze zálohy před útokem. 
>>>>> Nejlépe hodně dost dnů před útokem, protože některé ransomware 
>>>>> mají ošklivou vlastnost v tom smyslu, že se usadí v systému, 
>>>>> počkají pár měsíců a pak se aktivují.
>>>>> Pokud by útok způsobil, že dojde k zašifrování zálohy třeba na tom 
>>>>> Active Backup, tak to není plošné, ale jde o cílený (a velmi 
>>>>> drahý) útok na konkrétní infrastrukturu. A to je patrně věc nějaké 
>>>>> státem placené APT a tudíž případ pro písmenkové agentury a o tom 
>>>>> opravdu nemohu a nesmím mluvit. Ale v takovém případě to bude 
>>>>> řešit někdo úplně jiný než lokální admin. Problém lokálního admina 
>>>>> bude jen v tom, jestli nezanedbal nějaký bezpečnostní update. 
>>>>> Pokud nezanedbal, tak je z obliga.
>>>>>
>>>>> Zdraví PavelK
>>>>>
>>>>> Dne 13.02.2025 v 22:50 Michal Grunt napsal(a):
>>>>>> A co takove Synology a Active Backup for Business. Už to někdo 
>>>>>> dokázal napadnout a vše zrušit? (pri předpokladu, že není zapnuté 
>>>>>> SSH, nejsou nainstalovane žádné kontejnery, zbytečně balicky, 
>>>>>> nikdo neexperimentoval s pravy na slozku ABB atd.)
>>>>>>
>>>> _______________________________________________
>>>> HW-list mailing list  -  sponsored by www.HW.cz
>>>> Hw-list na list.hw.cz
>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>
>>>
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz
>>> Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored bywww.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored bywww.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20250214/07321f8b/attachment.htm>

Další informace o konferenci Hw-list