Bezpieczeństwo (ciekawy artykuł, dla początkujacych)

[Mark1]

Bezpieczeństwo (ciekawy artykuł, dla początkujących)


Artykuł dość ciekawy i aktualny:

http://securitymag.pl/przyszlosc-bezpiecznego-linuksa/

[jacekalex]

Artykuł pominął dwa moduły bezpieczeństwa, które mają spory potencjał, i są coraz częściej stosowane: Apparmor i Tomoyo.

Akurat Ubuntu korzysta z Apparmora, i coraz więcej programów dostaje ochronę już na etapie instalacji.
Po za tym jak zwykle nie obejmuje jednego drobiazgu w opisie Linuxa: to jest projekt żywy, np niektóre rozwiązania znane z grsecurity znalazły się już w standardowym kernelu. (np NX-bit), który pojawił się w Pax/Grsec, skąd skąd został przeniesiony do do standardowego kernela.

Po za tym Linux ma więcej "uzbrojenia" które można włączyć i używać, aniżeli wszystkie zagrożenia mu zagrażające.
A otwarty kod powoduje, że ilość i jakość tego uzbrojenia jest stale powiększana,
a i kontrola skuteczności tych zabezpieczeń jest wtedy łatwiejsza.
Jednak każde zabezpieczenie ktoś musi włączyć i skonfigurować, żeby działało, to stara jak świat prawda.

To by było na tyle

[zxraf48kb]

Nie przestudiowałem artykułu bo nie mam teraz czasu ale w temacie bezpieczeństwa linuxowych desktopów ....

Linux ma jedną potężną cechę, którą góruje i będzie górować nad MS i innymi Mac'ami w kwestii bezpieczeństwa użytkowania.
Jest wolny , darmowy (jakby tego nie interpretować) i łatwo dostępny, nie trzeba go kupować i rejestrować, a instalacja i reinstalacja jest prosta i szybka.
Jeżeli nawet upowszechni się na tyle, że wejdzie w horyzont zainteresowania świata cyber przestępców i złośliwego oprogramowania mogącego zagrozić np bezpieczeństwu transakcji bankowych, użytkownicy zawsze będą mogli używać do tych operacji łatwo dostępnych i "czystych" dystrybucji np Live.

Myślę, że z powyższego powodu świat przestępczy nie będzie miał żadnego pożytku z atakowania kompów linuxowych.

[jacekalex]

.....................
Jeżeli nawet upowszechni się na tyle, że wejdzie w horyzont zainteresowania świata cyber przestępców i złośliwego oprogramowania mogącego zagrozić np bezpieczeństwu transakcji bankowych, użytkownicy zawsze będą mogli używać do tych operacji łatwo dostępnych i "czystych" dystrybucji np Live.

Myślę, że z powyższego powodu świat przestępczy nie będzie miał żadnego pożytku z atakowania kompów linuxowych.

Ten kawałek nadaje się do kabaretu.
Twoim zdaniem jeszcze się nie znalazł na celowniku producentów wirusów, trojanów, backdoorów, i biznesu związanego z zabezpieczeniami?
Otóż wszedł już dawno, jednak o bezpieczeństwie systemu działającego pod kontrolą kernela Linux decyduje w głównym stopniu jądro systemu.
A twórcy jadra Linux dbają o to, żeby ich kernele były ładny kawałek przed wszystkimi śmieciami, jakie przeciwko Linuxowi ktoś napisze.

Jak w standardowym Kernelu (żródła z kernel.org) czegoś brakuje (jest Netfilter, Nx-bit, Selinux, Apparmor, Tomoyo, itp) , jeśli to mało, to jest jeszcze Grsecurity/Pax.

Do tego niezła artyleria w przestrzeni użytkownika, część jest i działa, standardowo, resztę też można zainstalować, skonfigurować i używać, nikt nikomu tego nie zabrania.

A w otwartym kodzie po prostu znacznie trudniej ukryć błędy i dziury tak, żeby przez 15 lat nikt niczego nie zauważył.

To by było na tyle

[eskimoss]

Kiedy wreszcie admini zrobią dział Bezpieczeństwo? To trochę bez sensu żeby taki wątek był w off topic.
viewtopic.php?p=797427#post797427

Artykuł ciekawy, tylko nie omawia zagrożeń związanych ze szkodliwymi skryptami na stronach www i korzystania z przeglądarek internetowych. Chętnie bym się o tym czegoś więcej dowiedział, np. czy wystarczy wtyczka do blokowania skryptów czy raczej konieczne jest stosowanie Apparmor lub rozwiązań w rodzaju sandfox.

P.S.
Najciekawsze rozwiązania bezpieczeństwa będzie miał Chrome OS oraz polski Qubes OS.

[zxraf48kb]

Twoim zdaniem jeszcze się nie znalazł na celowniku producentów wirusów, trojanów, backdoorów, i biznesu związanego z zabezpieczeniami?

Moim zdaniem jeszcze nie ... Używam od kilkunastu lat i nie miałem żadnej okoliczności w powyższym temacie.

Nie wiem jak na to zabezpieczenia kernela, ale jestem sobie w stanie wyobrazić ... "Fajne-Makro-OOo", po użyciu którego uruchomi mi się "Menedżer aktualizacji", z przyciskiem "Zainstaluj teraz" i okienkiem do podania hasła root'a. Dziurę zawsze można znaleźć, jak nie po stronie kernela , to po stronie juzera.

Przez lata jednak, żadne "Fajne-Makro", ani nic w tym stylu, do mnie trafiło, to mniemam, że jeżeli linux jest nawet na celowniku, to oddanie strzału jest bezcelowe i myślę, że jest to spowodowane małą ilością "jeleni" , więc póki co lufa jest na kierowana na "barany"

[Mark1]

Artykuł pominął dwa moduły bezpieczeństwa, które mają spory potencjał, i są coraz częściej stosowane: Apparmor i Tomoyo.

Nie da się w krótkim tekście opisać wszystkiego. Dobrze jednak, że takie arty powstają.

Akurat Ubuntu korzysta z Apparmora, i coraz więcej programów dostaje ochronę już na etapie instalacji.

Czy ten apparmor działa od razu po instalacji? Bo firewall niby też jest "standardowo", ale jak się okazuje po instalacji jest....wyłączony

Chyba każdy linux ma jakiś system tupu selinux, apparmor, itp. ??? Korzystałem (krótko) z kilku dystrybucji i z tego co pamiętam w każdej coś podobnego było.

Po za tym Linux ma więcej "uzbrojenia" które można włączyć i używać, aniżeli wszystkie zagrożenia mu zagrażające.

I jednocześnie tylko pewna grupa osób (nie mówię, że tylko adminów, ale bardziej obytych w temacie) wie jak z nich skorzystać czy jak je skonfigurować.

A otwarty kod powoduje, że ilość i jakość tego uzbrojenia jest stale powiększana, a i kontrola skuteczności tych zabezpieczeń jest wtedy łatwiejsza.

Otwarty kod powoduje też, że osoby produkujące złośliwe oprogramowanie wiedzą jak je lepiej przygotować! Pomyśl co by się działo gdyby jawne były schematy specjalistycznych zabezpieczeń alarmowych do banków i ważnych instytucji

Jest wolny , darmowy (jakby tego nie interpretować) i łatwo dostępny, nie trzeba go kupować i rejestrować, a instalacja i reinstalacja jest prosta i szybka.
Jeżeli nawet upowszechni się na tyle, że wejdzie w horyzont zainteresowania świata cyber przestępców i złośliwego oprogramowania mogącego zagrozić np bezpieczeństwu transakcji bankowych, użytkownicy zawsze będą mogli używać do tych operacji łatwo dostępnych i "czystych" dystrybucji np Live.

Jest wolny i darmowy - I co z tego? Dlatego że jest darmowy to jest bezpieczny? "instalacja i reinstalacja jest prosta i szybka" - to też ma wpływ na bezpieczeństwo linuxa?

Nie wiem skąd przeświadczenie że Linux w trybie Live jest bardziej bezpieczny? Czysty owszem jest, bo masz dziewiczą kopię bez żadnego softu, itd. Ale przecież nie masz w nim włączonych usług (nawet firewalla) o których pisze jacekalex. Ponadto taki Linux nie ma update-ów! IMO to już jest spory problem. Nie mówiąc o tym że płytę nagrywa się raz na jakiś czas więc masz zawsze w szufladzie trochę starszego linuxa.

Na jednym forum ktoś napisał, że najbezpieczniejszy Linux to: "Linux w trybie Live CD, bo żaden haker nie zapisze kodu na płycie CD/DVD/BR (w domyśle: jednokrotnego zapisu)". Co o tym sądzicie? Prawda to czy fałsz?
A co z dyskami twardymi?, dziś już każdy ma co najmniej jeden dysk. Co za problem żeby ulokować złośliwy kod na dysku (może się mylę, ale wydaje mi się to dla speca od włamań czymś łatwym)

Kiedy wreszcie admini zrobią dział Bezpieczeństwo? To trochę bez sensu żeby taki wątek był w off topic.
http://forum.ubuntu.pl/showthread.ph...427#post797427

Na pewno (wcześniej czy później) taki dział powstanie. Im więcej osób będzie za tym, tym administratorzy szybciej podejmą decyzję.....

Artykuł ciekawy, tylko nie omawia zagrożeń związanych ze szkodliwymi skryptami na stronach www i korzystania z przeglądarek internetowych. Chętnie bym się o tym czegoś więcej dowiedział, np. czy wystarczy wtyczka do blokowania skryptów czy raczej konieczne jest stosowanie Apparmor lub rozwiązań w rodzaju sandfox.

To o czym piszesz, to ciekawa sprawa. Coraz więcej się słyszy nie tylko o stronach spreparowanych z szkodliwymi programami do instalacji ale i z kodami javascript, które robią dziwne rzeczy. W windowsach te wszystkie pseudo antywirusy on-line to norma, a jak jest w Linux?

Najciekawsze rozwiązania bezpieczeństwa będzie miał Chrome OS oraz polski Qubes OS.

Chrome OS - to dla mnie zaskoczenie. Czytałem że z Linuxów wysokie standardy oferują RedHat / CentOS i SUSE EL / Open Suse i Gentoo. A wśród BSD: Open BSD tworzony przez Theo de Raadt. Mnie to cieszy, Google ma ogromną kasę, więc spodziewam się że Chrome OS będzie mocno dopracowany.

[eskimoss]

Chrome OS - to dla mnie zaskoczenie.

Chromium OS Security
http://www.youtube.com/watch?v=A9WVmNfgjtQ

http://webhosting.pl/Qubes.OS.bezpieczn ... operacyjny
http://qubes-os.org/Screenshots.html
http://ipsec.pl/kryptografia/2010/komu- ... es-os.html
http://webhosting.pl/Rutkowska.Windows. ... ieczenstwa

Uważam, że Ubuntu jako system na desktop wcale nie jest taki bardzo bezpieczny. Model bezpieczeństwa jaki oferuje może się sprawdza na serwerach, gdzie po pierwsze użytkownik to przeważnie osoba z wykształceniem informatycznym, a po drugie w system się nie ingeruje tak bardzo jak na desktopie.

Desktop to inna bajka. A Linux niewiele oferuje niedoświadczonym użytkownikom pod względem bezpieczeństwa poza Gufw.
Mam wrażenie, że poczucie bezpieczeństwa opiera się na powszechnie panującym optymizmie, że skoro się do tej pory nic strasznego nie działo, to będzie tak dalej.

[zxraf48kb]

Otwarty kod powoduje też, że osoby produkujące złośliwe oprogramowanie wiedzą jak je lepiej przygotować! Pomyśl co by się działo gdyby jawne były schematy specjalistycznych zabezpieczeń alarmowych do banków i ważnych instytucji

Ale też cała masa ludzi analizuje ten kod pod względem bezpieczeństwa i zagrożenia.

Jest wolny i darmowy - I co z tego? Dlatego że jest darmowy to jest bezpieczny? "instalacja i reinstalacja jest prosta i szybka" - to też ma wpływ na bezpieczeństwo linuxa?

Jeżeli zostaną wykryte, wykorzystane luki w bezpieczeństwie systemu i pojawi się w systemach "złośliwy kod", to w linuxie o wiele prościej się tego pozbyć. Wystarczy pobrać z sieci lub z gazetki płytkę z wersją pozbawiona tych luk i zainstalować formatując partycje "/". Zajmuje to godzine, a może dwie.

W systemach "kupnych" będziesz miał konieczność ściągnięcia i zainstalowania łat, oprogramowania do usuwania kodu złośliwego, który go usunie skutecznie lub nieskutecznie. W razie konieczności reinstalacji systemu, konieczność znalezienia płytek recovery, jezeli nie kupna nowego systemu, bo akurat MS nie zanotował, prawidłowego odinstalowania. Do tego product key'e , sterowniki antywirusy i office'y i znów product key'e plus łączenie z infoliniami i helpdeskami w celu poprawnej rejestracji legalnego softu zgodnie z warunkami licencji.

Tak więc usunięcie skutków i przyczyn ewentualnego ataku jest o wiele prostsze i szybsze w przypadku systemów "wolnych i darmowych" niż "kupnych". Jakoś nie jestem sobie w stanie wyobrazić, że MS czy Apple wypuści wersje systemu w wersji "Bierzta i instalujta jak chceta", żeby się jak najszybciej pozbyć syfu z kompów.

Nie wiem skąd przeświadczenie że Linux w trybie Live jest bardziej bezpieczny? Czysty owszem jest, bo masz dziewiczą kopię bez żadnego softu, itd. Ale przecież nie masz w nim włączonych usług (nawet firewalla) o których pisze jacekalex.

A po co ci firewalle, jeżeli chcesz się tylko połączyć z bankiem, żeby zrobić przelew i mieć pewność, że żaden syf się do tego nie podłączy.