[es] - Toliko o najbezbednijem operativnom sistemu

Not now, John!

Član broj: 231
Poruke: 1318
87.250.104.*

+4 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{25.12.2006. u 01:38 - pre 211 meseci}

Citat:

MladenIsakovic: Ni na Linuxu admin (root) ne mora da ima lozinku. Evo najnoviji Slackware 11 može sasvim da radi bez root lozinke, s' tim što kad ti traži root ovlašćenje lupiš samo enter, i prođe bez problema. Tj, mora lozinka, ali ona može biti i prazna.

Naravno, ali kad pokušaš da promijeniš lozinku najprije dobiješ:

Citat:

Enter the new password (minimum of 5, maximum of 127 characters)
Please use a combination of upper and lower case letters and numbers.

a kad udariš praznu lozinku dobiješ upozorenje:

Citat:

Warning: weak password (enter it again to use it anyway).

pa će praznu lozinku koristiti samo onaj ko je svjestan rizika.
Tako je u konzoli.

Nisam dugo instalirao Linux, ali koliko se sjećam installer će dati još detaljnije objašnjenje/upozorenje ili čak neće ni prihvatiti praznu lozinku.

"I'd take the awe of understanding over the awe of ignorance any day."
- Douglas Adams

Odgovor na temu

MladenIsakovic
Mladen Isaković
Šabac

Član broj: 58620
Poruke: 333
*.smin.sezampro.yu.

Jabber: mladjai@elitesecurity.org
ICQ: 162720715
Sajt: www.slackware-srbija.org

+1 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{25.12.2006. u 03:22 - pre 210 meseci}

Da, to sve jeste tako.

Citat:

Not now, John!: Nisam dugo instalirao Linux, ali koliko se sjećam installer će dati još detaljnije objašnjenje/upozorenje ili čak neće ni prihvatiti praznu lozinku.

Pa ne znam, u Slacku prolazi čak i ako ostaviš praznu lozinku. On te obavesti, tj. upozori da je lozinka "labava", i preporučuje to što si ti napisao, ali prihvati praznu lozinku kad ponovo lupiš enter. E ne znam da li je drugačije kod drugih distribucija, stvarno, nisam to pokušavao.

Odgovor na temu

fearless

Član broj: 74584
Poruke: 156
212.62.59.*

Sajt: www.phearless.org

Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{25.12.2006. u 21:56 - pre 210 meseci}

Citat:

Not now, John!: Siguran OS treba da štiti sistem i korisnike i od njih samih tako da klik na "britney_porn.exe" itekako spada u domen sigurnosti. Pa nije valjda MS uveo sve te sigurnosne mehanizme u Vistu radi dobronamjernih programera i IT profesionalaca?

Kako to spada u domen sigurnosti OS? Vistini sigurnosni mehanizmi se odnose na sprecavanje iskoriscavanja
(exploitanja) ranjivosti u softveru (cime se znatno smanjuje mogucnost za nekim autospreading malwareom),
a ne sprecavanju virusa jer oni, po svojoj definiciji, ne iskoriscavaju propuste. Time se bave AV-ovi, a da li
trebaju da budu integrisani u neki OS ili ne to je vec drugo.

Citat:

MladenIsakovic: Linux, BSD, MacOSX-u opasnost da vam neki exploit kompromituje računar u okviru statističke greške, što se za Windows ne može reći, i pored tog brilijantnog security-artworka.

Zasto mislis da je Linux manje podlozan exploitaciji od Windowsa? To opet zavisi od korisnika. Ako ti dignes
sad recimo proftpd na linux masini ona je onda itekako ranjiva. Isto vazi za jos neke servise. Dakle, ako
korisnik na bilo kom sistemu ima iole neku svest o sigurnosti, nece imati problema.

Zamolio bih ljude koji ucestvuju u ovoj diskusiji da ne pricaju o stvarima koje ne poznaju (kao drugi citat)
da ne bi posle krivili cynique sto ih (in)direktno pljuje.

Phearless - Serbian/Croatian Security Magazine: www.phearless.org

Odgovor na temu

cynique
Ivan Štambuk
Zagreb@Croatia

Član broj: 93690
Poruke: 155
*.cmu.carnet.hr.

ICQ: 106979934
Sajt: istambuk.blogspot.com

Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 12:54 - pre 210 meseci}

Citat:

MladenIsakovic: Upravo tako, međutim kad ja to pomenuh, rekoše mi da to ne potpada pod sigurnost OS-a.

Baš kao što i vjerojatnost da time što vozeći polupijan sletiš u provaliju nakon cjelonoćnog bančevanja u narodnjačkom klubu ne spada u domenu sigurnosti proizvođača tvog automobila.

Već sam par puta ovdje objašnjavao zašto pokretanje proizvoljnog izvršnog programa ne može biti modelirano u okvire sigurnosnih mehanizama OS-a. Dovoljne su privilegije da otvoriš socket, čitaš aktivno pritisnuti taster i eto ti identity theft trojanca dok kažeš keks. A takvo je nešto moguće u bilo kojem "običnom" korisničkom nalogu, na bilo kojem OS-u.

Citat:

Valjda zato što neće da priznaju da je na Linux, BSD, MacOSX-u opasnost da vam neki exploit kompromituje računar u okviru statističke greške, što se za Windows ne može reći, i pored tog brilijantnog security-artworka.

Što se babi htilo...

http://www.zone-h.org/component/option,com_attacks/Itemid,43/

Statistička pogreška my ass..

Put the funk in funktion.

Odgovor na temu

MladenIsakovic
Mladen Isaković
Šabac

Član broj: 58620
Poruke: 333
*.smin.sezampro.yu.

Jabber: mladjai@elitesecurity.org
ICQ: 162720715
Sajt: www.slackware-srbija.org

+1 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 13:10 - pre 210 meseci}

Čekaj malo, po ovoj tvojoj tabeli, najranjiviji je Linux, pa Solaris, pa BSD, pa Windows

A gde je tu MacOSX???

Odgovor na temu

cynique
Ivan Štambuk
Zagreb@Croatia

Član broj: 93690
Poruke: 155
*.cmu.carnet.hr.

ICQ: 106979934
Sajt: istambuk.blogspot.com

Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 13:35 - pre 210 meseci}

@milke

Citat:

Hajde da na kraju, ipak, pokušam da u dve rečenice sumiram ono što sam i ovim porukom hteo da ti kažem: u pitanju je tvoj nastup i argumentacija, kada validnim činjenicama i podacima dodaješ kvalifikacije i uvrede određenoj grupi ljudi. To ostavlja jak utisak neozbiljnosti i proizvoljnosti u iznošenju činjenica (koje mogu biti tačne) upravo u cilju omalovažavanja drugih a ne radi njihove informisanosti. Probaj to da izmeniš u svom nastupu i bićeš mnogo ozbiljnije shvaćen od strane svih koji čitaju tvoje poruke.

Meni je žao što se kao nekakvo "omalovažavanje" tretira moja izjava osobi koja tvrdi da će "Mac OS uvijek biti sigurniji od PC-a" ili da "još uvijek ništa po pitanju Mac OS exploita", da nema puno pojma o čemu priča.

I ti sam tvrdiš da nemaš blagog pojma što točno ovi featuri znače:

Smiješno je uopće što se javljaš na ovoj temi, pokušavajući se opravdati sa "ja nikad nisam imamo sigurnosnih incidenata na Macu".

E pa pogodi što - ima i gro ljudi na win koji nikad nisu imali sigurnosnih incidenata. I, sudeći po ovom dijagramu, to če tako i ostati. Što se za Mac OS ne može sa tolikom sigurnošću reći.

Citat:

Ovako, utisak je upravo suprotan, bićeš ozbiljno shvaćen, u stvari bolje reći, verovaće ti samo oni koji žele da veruju u ono što pišeš (čitaj Win zealoti)...

Vjeruj ti u Djeda Mraza, bezgrešno začeče i prepedene Symantecove security stručnjake, ono što ja tvrdim jest da je trenutno 1000 puta (da kažem 100, malo sam rekao) lakše exploitati sigurnosni propust na Mac OS X-u, nego na Visti. A to je jednostavno tako, i svatko tko nešto okvirno zna o sigurnosti izvornog koda će to potvrditi.

Ti i ostali koji misle drugačije to ne znate. I zato se suzdrži od izazova tipa "daj mi exploit" jer da ti i složim trivijalni shellcode za Mac/x86 u < 10 min (teoretski, da mu imam pristup), ne bi razumio ni bajta.

Put the funk in funktion.

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.co.yu.

Sajt: angelstudio.org

+392 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 14:13 - pre 210 meseci}

Citat:

Čekaj malo, po ovoj tvojoj tabeli, najranjiviji je Linux, pa Solaris, pa BSD, pa Windows

Bogami, naterao si me da se logujem na [es], sto je samo po sebi uspeh, Mladene. Vista ce tek u Januaru da se pojavi, samim tim, linkovati na exploite za XP, 2000, 98, stogod, ima jako puno smisla, zar ne? ;-) Koliko su svezi ti exploiti, to pa posebno, hoce li raditi na 2003SP1 ili najnovijem Linux kernelu 2.6 to nema veze?

Odgovor na temu

milke
Dragan Milić

Član broj: 52025
Poruke: 237
195.33.140.*

+3 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 14:47 - pre 210 meseci}

Citat:

cynique: ... I zato se suzdrži od izazova tipa "daj mi exploit" jer da ti i složim trivijalni shellcode za Mac/x86 u < 10 min (teoretski, da mu imam pristup), ne bi razumio ni bajta.

Bravo, sad si me porazio i ubio u pojam.

Daj konačno da završim ovu diskusiju sa tobom i da ti "nacrtam" šta sam hteo da kažem, iako sumnjam da će to imati bilo kakvog uticaja na tvoje buduće reakcije.

Ni jednog treutka nisam ulazio u stručnu raspravu sa tobom, jer, kao što rekoh, o SW sigurnosti ne znam skoro ništa. Zatražio sam od tebe, sada već čuveni, "10 min exploit" isprovociran tvojim nastupom i rečnikom, u kome SVE korisnike ovoga-onoga kategorišeš kao glupane, kretene i sl. Uz to uvek idu i podmetanja i insinuacije, tipa "verovanja u Deda Mraza, bezgrešno začeće itd...", čime opet kvantifikuješ IQ nivo onoga kome se obraćaš. Ničim se ja ne pravdam, činjenica da nisam imao sigurnosnih incidenata nije opravdanje, već moje lično iskustvo. Ni da pogađam ne moram ništa, nigde nisam ni tvrdio suprotno od tvoje tvrdnje da "gro ljudi na win koji nikad nisu imali sigurnosnih incidenata", što mi uporno podmećeš. Kao omalovažavajuće nisu shvaćene tvoje izjave na neko nema pojma šta priča, par omalovažavajućih izjava sam već citirao. Pitanje "kako to da još nema ništa" (možda sam trebao da preciziram, ništa što bi se kao pošast raširilo među mnoštvom Mac korisnika širom sveta) i zatražen exploit sam već objasnio, prenervozna reakcija na tvoje pisanje (da li još jednom treba da napomenem, ne na stručan deo, već na podelu "komplimenata" ostalima). Mogu samo da kažem da je šteta što u svojim stručnim opservacijama ne možeš da se suzdržiš, a da ne uputiš po koji uvredljivi ili podrugljivi komentar na račun mnogih ovde, čime umesto pozitivnog utiska (nekog ko zna) stvaraš upravo obratni (nekog ko je pljuje). A ti to shvati kako hoćeš, sumnjam da ti do toga iole stalo.

I na kraju, ako se ipak odlučiš da napišeš taj exploit, samo ga ti daj, nema veze što ni bajt neću razumeti, naći ću već nekog ko hoće. A, nije loše nešto novo i naučiti, pa makar i po cenu uništenog sistema ;-)

Eto, valjda sam sada pojasnio povod i sadržaj mojih pređašnjih nastupa na ovoj temi, pa se isključujem. Očekujem tvoj komentar, uopšte ne sumnjam da će ga biti.

Odgovor na temu

MladenIsakovic
Mladen Isaković
Šabac

Član broj: 58620
Poruke: 333
*.smin.sezampro.yu.

Jabber: mladjai@elitesecurity.org
ICQ: 162720715
Sajt: www.slackware-srbija.org

+1 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 15:03 - pre 210 meseci}

Citat:

bojan_bozovic: Bogami, naterao si me da se logujem na [es], sto je samo po sebi uspeh, Mladene. Vista ce tek u Januaru da se pojavi, samim tim, linkovati na exploite za XP, 2000, 98, stogod, ima jako puno smisla, zar ne? ;-) Koliko su svezi ti exploiti, to pa posebno, hoce li raditi na 2003SP1 ili najnovijem Linux kernelu 2.6 to nema veze?

Pa to je tabela za koju je Cynique postavio link iznad, sa te stranice. Ispadoše svi ranjiviji od Windowsa, osim MacOS X-a.

Citat:

cynique: Baš kao što i vjerojatnost da time što vozeći polupijan sletiš u provaliju nakon cjelonoćnog bančevanja u narodnjačkom klubu ne spada u domenu sigurnosti proizvođača tvog automobila.

Da, ali kao što znaš i sam, proizvođači automobila danas (aluzija nema mnogo smisla, al' kad si je potegao...) računaju sa time da nisu svi vozači trezni/pažljivi/talentovani za vožnju, te svakim novim modelim sve više unapređuju air-bagove, sad već i bočne, odlične kočnice, ABS kočione siseme četvrte generacije, ......
Ja hoću reći da Windows mora računati sa tim da nisu svi korisnici IT eksperti, i da ih treba onemogućiti da naprave sami sebi štetu, koliko je to moguće. Ako idemo analogijom automobilske industrije, onda su mogli BMW, Mercedes i Porche da proizvode automobile ok 1500 konjskih snaga, da idu 380 km/h, bez ABS-a, ESP-a, servo-volana, i AIR-Bagova, pa bi se kupci tih auta vrlo lepo proveli vozeći ih.

Odgovor na temu

Zoran Rodic
Beograd

Član broj: 57538
Poruke: 3215
*.adsl-1.sezampro.yu.

Sajt: zoranrodic.in.rs

+63 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 15:50 - pre 210 meseci}

Zao mi je sto nisam sacuvao link ka textu gde je procentualno izrazen broj skakavaca koji haraju XP-om a da ce pritom nastaviti da radi to isto i po Visti.
Ne secam se tacno, preleteo sam text, ali je procenat izuzetno veliki i po mom skromnom misljenju ona tabela moze u djubre.

Neko je trazio exploit?
evo nesto od brace rusa

Lomografija je kad imaš sa čime, a nećeš … a Pinhole kad nemaš sa čime, a hoćeš! ^tm

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.co.yu.

Sajt: angelstudio.org

+392 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 15:55 - pre 210 meseci}

O tome se i radi, koga Windowsa i koga Linuxa? Vista ce tek u januaru da se pojavi. Ako su sve verzije Win (ili Linuxa) do ove bile busne, zasto i ova mora biti? Sacekajmo malo...

Citat:

Ja hoću reći da Windows mora računati sa tim da nisu svi korisnici IT eksperti

To je nemoguce. Eto, koristis FF, kako jedan program poput OS moze proceniti nece li tvoje lozinke na e-commerce sajtovima slati na mozilla.org?

Odgovor na temu

Mitrović Srđan
bloodzero
Freelance
Majur //: Šabac

Član broj: 10261
Poruke: 2800
62.108.108.*

Sajt: freeshell-reviews.com

+4 Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 16:03 - pre 210 meseci}

Mladene ovo gore je tabela sigurnosnih zastita implementiranih u sistem.
Po ovoj tabeli MacOS nema ni neke osnovne sigurnosne implementacije , a windows
je konacno obratio paznju na sigurnost ;-0 Ovoga puta stvarno jel se tako
govorkalo i za XP u njegovo vreme pa sada vidimo i po datoj tabeli
da je imao jedva jedan full suport feature koji su naveli ;-)

Linux je svakako server sistem koji se najvise exploatise bilo ko ko je bio
u tim vodama zna tu cinjenicu ;-)
Mozda zato jel je LAMP zastupljeniji ....just kidding ;-)

Tony Melendez:
http://video.google.com/videoplay?docid=-
3819862628517136815&q=tony+melendez

NIKADA NE UZIMATI HOSTING NA GO DADDY!

Odgovor na temu

cynique
Ivan Štambuk
Zagreb@Croatia

Član broj: 93690
Poruke: 155
*.cmu.carnet.hr.

ICQ: 106979934
Sajt: istambuk.blogspot.com

Profil

Re: Toliko o "najbezbednijem" operativnom sistemu

^{27.12.2006. u 17:30 - pre 210 meseci}

Citat:

milke: Bravo, sad si me porazio i ubio u pojam.

Odlično, tvoje buduće nejavljanje na ovoj temi može samo povećati tehničku razinu diskusije, s obzirom da nisi ni jednu jedinu tvrdnju izrekao a koja nije bila ad hominem napad na mene.

Citat:

Ni jednog treutka nisam ulazio u stručnu raspravu sa tobom, jer, kao što rekoh, o SW sigurnosti ne znam skoro ništa.

Drugim riječima, nemaš ni najblažeg pojma što ona tabela znači, a opet si se našao pozvan prosipati bisere ("daj mi exploit"). Što će ti zaboga exploit kad ne znaš ni što ta riječ znači?

Citat:

Zatražio sam od tebe, sada već čuveni, "10 min exploit" isprovociran tvojim nastupom i rečnikom, u kome SVE korisnike ovoga-onoga kategorišeš kao glupane, kretene i sl.

Nisam nikome eksplicitno rekao da je "glupan", "kreten" i sl. - prestani mi više imputirati takve nebulozne izjave.

Rekao sam samo da većina Mac OS advokata, od kojih je većina djeca tate dubokog džepa koji vole misliti drugačije (umjesto da za iste pare kupe 2-5 puta jači "PC"), nemaju pojma o sigurnosti softvera općenito, a što je jedna jako kompleksna domena koja se tiče puno internalija OS-a i kompajlera, i kao takvi nisu kompetentni davati tvrdnje da je "Mac sigurniji od PC-a" i sl.

I da, nemaju pojma o čemu pričaju (kad to govore). I to ih ne čini "kretenima" ili "glupanima" - samo neznalicama.

Citat:

Uz to uvek idu i podmetanja i insinuacije, tipa "verovanja u Deda Mraza, bezgrešno začeće itd...", čime opet kvantifikuješ IQ nivo onoga kome se obraćaš.

Ne znam koji je tvoj verbalni IQ, ali to referiranje na praznovjerne idiome je trebalo referirati na činjenicu invarijantnu ideološkim (u OS smislu) okvirima da Mac OS neće biti ništa sigurniji što ti i tvoji pajdaši meni "ne vjerujete".

To nije pitanje "vjerovanja". Trivijalnost eksploatacije sigurnosnih propusta na Mac OS X-u je stvarnost.

Citat:

Ničim se ja ne pravdam, činjenica da nisam imao sigurnosnih incidenata nije opravdanje, već moje lično iskustvo. Ni da pogađam ne moram ništa, nigde nisam ni tvrdio suprotno od tvoje tvrdnje da "gro ljudi na win koji nikad nisu imali sigurnosnih incidenata", što mi uporno podmećeš.

Nisam ti to "podmetnuo" - pročitaj opet - to je bio moj odgovor u tvom stilu "wow, a kako to da ja nisam nikad imao sigurnosnih problema na Macu?". To što ti nisi ne znači da je OS inherentno sigurniji, niti da nitko drugi ne može imati, kao ni da FUD koji širi Apple i njegovi budalaši-advokati tipa John Gruber koji pojma nemaju što pričaju o tome kako je Mac OS u današnjm okvirima "super-siguran". Ekstrapolacija sa pojedinca na većinu je vrlo česta logička falacija.

Citat:

"kako to da još nema ništa" (možda sam trebao da preciziram, ništa što bi se kao pošast raširilo među mnoštvom Mac korisnika širom sveta)

Ništa? OSX.Inqtana i OSX.Leap teško da su baš "ništa" - prije PoC nadolazeće bure samopropagirajućeg malwarea jer, kao što neki od nas dobro znaju, pisanje pouzdanih Mac OS X exploita je easy as pie.

Citat:

I na kraju, ako se ipak odlučiš da napišeš taj exploit, samo ga ti daj, nema veze što ni bajt neću razumeti, naći ću već nekog ko hoće. A, nije loše nešto novo i naučiti, pa makar i po cenu uništenog sistema

Rekoh ti već, nemam SSE3-capable Intelov x64 procesor sa podršklom za EFI i ostala čudesa koja su potrebna da pokrenem OS X posisan as P2P mreža.. EarthQuake ti je već objasnio koliko je trivijalno exploitati neki kanonski primjer buffer overflowa na Mac-u, a ti i dalje - "ne vjeruj" :-)

Citat:

Mac OS X :
Prepises adresu EIP-a adresom shellcode-a koji se nalazi u bufferu i p00f eto ga exploit , na istim platformama (isti kompajler iste biblioteke...)
adresa buffera ce biti ista i imas exploit koji radi stos e kaze "in the wild"

Put the funk in funktion.

Odgovor na temu