Piotr Konieczny

superbezpieczeństwo linuksa to już powoli mit.
Najlepszym strażnikiem w każdym przypadku jest użytkownik i jego decyzje.

swoja drogą, ciekawe jak szybko rozrośnie się takie oprogramowanie na symbiana, WM i inne OS'y na palmy i telefony...

a ja mam pytanie. czy korzystacie z antywirusa? (win, lin, whatever)

pytam bo jakis czas temu napisalem na wykopie ze nie korzystam z antywirusa to mnie powyzywali od idiotow :)

@Karol Stilger
W niektórych dystrybucjach (AFAIK akurat nie w mojej) zamiast sum są używane podpisy gpg (btw, w poprzednim komentarzu pomyliłem klucz publiczny z prywatnym). Korzystam też z OpenDNS. Gdyby moja paranoja byłe nieco dalej posunięta, korzystałbym z DNS przez TORa.
Obawiam się, że musimy do pewnego stopnia ufać ISP i producentom sprzętu(W końcu oni też mogą coś złośliwego podłożyć).

"przy większości instalacji jakiegokolwiek oprogramowania na Mac OS X jesteśmy pytani o hasło administratora"

jako roczny uzytkownik osx'a (a niekorzy mowia nawet, ze fanboj!) niestety bede polemizowal z tym zdaniem. w WIEKSZOSCI przypadkow nie jestem pytany o nic - po prostu przeciagam progeam do odpowiedniego katalogu i tyle. jestem natomiast pytany w momencie gdy program korzysta z instalatora (http://en.wikipedia.org/wiki/Installer_(Mac_OS_X) - co w WIEKSZOSCI wypadkow jednak sie nie zdarza... to tak tylko pare groszy z mojej strony. ;]

Jak wyżej (jarv). Aplikacje instalowane z .pkg wymagają haseł, większość appów to self-contained packages, przeciągane z .dmg i uruchamiane z dowolnego miejsca.

@chmurli: Nigdy na Windowsie nie używałem antywirusa. Sam czuję jak mojemu systemowi coś dolega i sobie z tym odpowiednio radzę. ;-)

Warto zauważyć że pakiet biurowy na jabłka to iWork a nie iWorks

A ja jak czytam te komentarze japkowców-fanatyków na temat tego trojana, to mi się wydaje, że przebija z nich taki lekki rumieniec na twarzy. No bo jakże toto tak, przecież Mac OS X jest bezpieczny tak? Nie ma na niego wirusów tak? A jak są, to przecież user musi kliknąć tak? Więc nic mi nie grozi tak? <-; Jakoś tak upada im powoli wizja systemu niepodatnego na cokolwiek, co oczywiście nigdy nie było prawdą. A wiara ludzka w to, że jakieś systemy są bezpieczne w dalszym ciągu nie przestaje mnie zadziwiać ;-)

o firefoxie miałem pisać, ale już to zrobili;) nie muszę apta uruchamiać (i w roota się zmieniać) żeby sobie jakieś stworzonko wyhodować;P

ale zastanawiam się dlaczego tyko o wykradaniu i traceniu danych mowa? he? jak bym chciał dosika zrobić to danych kraść nie muszę - wystarczy mi iluś niewinnych userów, którzy nic nie wiedzą i dane im nie giną - mi moc wystarczy i łącze:P

nie zapominajmy o tym, nie wszyscy potrzebują roota i dane wykradać...

Na linuksa nie ma i nigdy nie będzie żadnych wirusów i trojanów koniec i kropka.

"Mac OS X czy Linux nie są o wiele bezpieczniejsze od Windows."

1. Nie jest to zjawisko powszechne, do tej pory istnieje tylko kilka takich przypadków.
2. Trzeba się postarać aby załapać takiego trojana. Pod Windowsem jest to wielokrotnie łatwiejsze.
3. Założę się, że Apple będzie robiło wiele aby uniemożliwić i taki sposób rozprzestrzeniania się wirusów/trojanów. Przecież to firma, która od początku rozwijała OSXa na dwie platformy. Może tak samo po kryjomu rozwija jakiś program antywirusowy by opublikować go przez uaktualnienia gdy zajdzie taka potrzeba.
4. Większość programów, cracków itp nie wymaga hasła.
5. Informacja ta zapewne uzmysłowi wielu użytkownikom, że należy pomyśleć zanim poda się hasło.

Mi się kiedyś śniło, że ktoś/coś mi ~ eremefnął...

Prawda jest taka, że na głupota ludzka nie ma granic, ani nie ma na nią lekarstwa ... z drugiej jednak strony trzeba się przed nią chronić, a zwłaszcza chronić tych *nie doświadczonych*.

Złapanie jakiegoś "syfa" na windowsie jest o wiele bardziej prawdopodobne, ktoś kiedyś sprawdził badania stwierdzające, że użytkownik po czystej instalacji XP'ka ma 5 min. na jego załatanie, jeżeli się w tym czasie nie wyrobi, a komp oczywiście podłączony jest do sieci, to złapie pierwszego wirusa. Niech ktoś przytoczy podobne statystyki dla Linuksa/Os X'a.

Drugą rzeczą jest instalowanie dodatkowego oprogramowania. Coraz więcej instalatorów pod windows weryfikuje sumy kontrolne ... ale co z tego skoro można je łatwo podmienić w samym instalatorze. Jeżeli chodzi o linuksa to, ciężko jest podmienić sumy na oficjalnym serwerze dystrybucji (jasne można teoretyzować ... ale to do niczego nie prowadzi, prawdopodobieństwo zajścia takich sytuacji to ułamkowe części procenta którymi nie warto się przejmować).

Reasumując, zawsze najsłabszym ogniwem systemu będzie człowiek, to na twórcy systemu mają obowiązek zadbać o swojego, de facto, klienta. Właśnie taka "troska" jest IMHO realizowana w systemie Linux, zwłaszcza biorąc pod uwagę publiczne repozytoria, sumy kontrolne i podpisy cyfrowe paczek.

> piko: Teraz tak się zastanawiam, co robi "Linuksiarz" jak np. chce zagrać w grę, a ta nie śmiga na *NIX.

Nie wiem jak inni, ale ja odpalam Nintendo DS bo i tak grywam głównie "w drodze" :-)

Piotr Konieczny: "... odpale malware na swoich prawach, czy na prawach roota"

Jeśli odpalisz malware to oczywiście róznicy nie widać. Większość userów nie odpala malware oni odpalaja Photoshopa, gre czy inna aplikację nie zdając sobie sprawy że siedzi w środku wirus. Gdyby wiedzieli na pewno by nie zainstalowali malware.

Zaraz Wam wyjaśnię, na czym polega zasadnicza różnica w bezpieczeństwie tych systemów oraz dlaczego Linux (nie każdy) jest o wiele bezpieczniejszy od obu pozostałych.

Pomijając rzecz oczywistą, o której już tu ktoś napisał - że na Linuksa nie ma "pirackiego oprogramowania" i nie ściąga się niczego z torrentów i innych p2p (a jeśli ściąga się obrazy płyt z linuksem, to zawsze można sprawdzić ich sumy kontrolne), jest jeszcze jeden, poniekąd istotny element.

Otóż Linux rozpowszechniany w formie naprawdę wolnych (od słowa FREE) dystrybucji, nie zawiera pewnych przykrych niespodzianek, które standardowo zawierają komercyjne systemy, szczególnie te rodem z USA.

W świecie specjalistów od bezpieczeństwa IT powszechnie wiadomo, że systemy Windows zawierają celowo umieszczane w nich tzw. furtki, które są efektem wymogu, jaki dla tzw. "bezpieczeństwa narodowego" nakładają agencje rządowe USA na komercyjne systemy operacyjne. Celem tych "furtek" jest umożliwienie infiltracji tych systemów przez agentów rządowych, gdy jest to z jakiegoś powodu konieczne (np. walka z terroryzmem - modna obecnie). Rzecz jasna nie tylko Windows zawiera takie cuda, ale również systemy IBMa, Cisco, Suna itd. Nie ma więc powodu by uważać, że Apple i ich Mac OS X są tu jakimś wyjątkiem (nawet ten w iPhone - w tym przypadku sama firma Apple ogłosiła nie tak dawno, że może zdalnie "wyłapać" i "unieszkodliwić" iPhone, na którym używa się pirackiego oprogramowania - co samo w sobie mówi nam, jak się rzeczy mają.

Tego typu "kwiatki" nie są jednak możliwe w przypadku niekomercyjnych dystrybucji Linuksa, tym bardziej, że są one dostępne w postaci źródeł (w 100%) i można samemu te źródła skompilować - przy pewnej dozie paranoi lub jeśli Wasza praca wymaga zachowania najwyższego, możliwego bezpieczeństwa.

Rzecz jasna, w takim systemie po prostu nie wolno zainstalować żadnej zamkniętej aplikacji (a więc Adobe Flash i Java w wersji od Suna odpadają) - niemniej - da się.

To samo dotyczy systemów z rodziny BSD, takich jak: FreeBSD, OpenBSD i NetBSD.

Wirus nie ma fizycznie szans na rozpowszechnienie się w którymkolwiek z nich (nie mówiąc o tym, że nie bardzo istnieje sposób na jego wrzucenie do systemu - użytkownik musiałby ściągnąć go w postaci źródeł, skompilować i świadomie uruchomić jako root - to już trochę za dużo wymogów... jednak).

Last but not least. tezę, że dostępność oraz ilość wirusów na dany system zależy tylko od jego upowszechnienia wygłosił swego czasu pan Gates, broniąc Windows - a więc produktu swojej wówczas firmy. Stała się ona dość popularna w niektórych kręgach, ale niestety nie ma ona potwierdzenia w realnym świecie. Dlaczego?

Zróbmy małą analizę: weźmy 100.000 losowo wybranych użytkowników Windows i np. Linuksa. Zastanówmy się: czy Windows posiada w sobie kompletne środowisko deweloperskie (kompilatory, niezbędną dokumentację itd..) - wszyscy wiemy, że nie. No i teraz.. na te 100,000 użytkowników, w przypadku Windows o programowanie w czymkolwiek otarło się około 1%, tak, jednego procenta populacji. Programować na tyle biegle, aby stworzyć wirusa.. może jakaś frakcja tego jednego procenta. Jak jest w przypadku Linuksa? Otóż: system zawiera w dystrybucji wszystkie, ważniejsze języki programowania wraz z pełną dokumentacją, a blisko 70% użytkowników systemu to programiści lub osoby uczące się programowania. Tak zresztą było w środowiskach UNIX od samego początku, od 1969 roku.

Teraz.. czy jest możliwe - że w tak ogromnej rzeszy deweloperów nie pojawi się jeden, dwóch czy nawet trzech oszołomów piszących złośliwy kod? Przez tyle lat? (Sam Linux istnieje od 1989 roku, a UNIX od 1969!). Raczej nie! A więc, jeśli przez te 40 lat nikt nie napisał wirusa szalejącego po systemach UNIX/Linux, to jednak o czymś to świadczy. Dobranoc Państwu.

Piotrze... powiem tak:

Współorganizowałem (nie tak dawno temu) konkurs, w którym nagrody były całkiem słuszne... (indeks prywatnej uczelni informatycznej, konkretne zestawy komputerowe itd).

W konkursie tym wzięło udział nieco ponad 4000 młodych, ambitnych ludzi w wieku około maturalnym... no i?

No i.. było tam kilka etapów (zadania ogólnie z zakresu matematyczno-informatycznego), ale z punktu widzenia toczącej się tu dyskusji najciekawszy był etap ostatni, do którego przeszło kilkudziesięciu uczestników - zaledwie.

Otóż stał sobie serwer pod Ubuntu (takim zwykłym, prosto z dystrybucji, bez zmian w konfiguracji). Był sobie na nim Apache + PHP + standardowe narzędzia + całe środowisko deweloperskie + UWAGA - każdy uczestnik miał swoje własne konto shellowe, z dostępem do kompilatora i wszystkich zabawek - dostępne po SSH.

Umowa gentelmeńska była taka, że organizatorzy nie będą instalowali ani jednej łatki w czasie trwania etapu, etap potrwa 2 tygodnie i w tym czasie zadaniem uczestników jest:
- uzyskać dostęp do katalogów stron WWW na tym serwerze,
- umieścić tam własną stronę,
- utrzymać kontrolę nad tym przez resztę czasu trwania etapu,
- na koniec przedstawić kompletny opis jak zostało to wszystko zrobione.

Ubuntu jak wiemy dostępne jest też w postaci źródeł - a więc uczestnicy mogli szukać dowolnych błędów w kodzie!

Uczestnicy mieli też zagwarantowane 100% prawo crackowania systemu bez stresu, obaw o ewentulne oskarżenia, ściganie przez policję itd. (co w realnym życiu raczej nie ma miejsca) - słowem warunki pracy było komfortowe.

I co? I nic. Nikomu nie udało się rozwiązać "zadania", pomimo iż organizatorzy zgodzili się (na wniosek uczestników na forum) przedłużyć konkurs o jeden weekend, który wypadał na końcu owych 2 tygodni.

Cóż.. nie będę ukrywał, że wszelkie akcje wykonywane przez uczestników były rejestrowanie i zostały przeanalizowane, dzięki czemu udało się zgromadzić sporo ciekawego materiału na temat działań potencjalnych włamywaczy sieciowych i to tych z wyższej półki (wcześniej ludzie zakwalifikowani do tego etapu wykonali szereg dość trudnych zadań).

Dodam, że uczestnicy mieli pełne prawo ściągania i uruchamiania dowolnych eksploitów i innych świństw z sieci oraz pisania własnych programów tudzież używania każdego narzędzia, które jest zainstalowane w systemie (łącznie z suidperl, który też tam był zainstalowany ;-)).

Niestety wyniki z tego konkursu (jak i z następnej jego edycji) obaliły właśnie kilka mitów, a w tym:

- że jeśli użytkownik ma dostęp do konta shellowego, to system jest jego,
- że przed zdolnym włamywaczem nie ma bezpiecznych miejsc, ;-)
- że system Linux jest dziurawy "by default".

Natomiast dało się potwierdzić kilka tez, które zresztą głoszę w swoich referatach i artykułach od lat wielu:

- że aby serwer był w miarę bezpieczny wystarczy, aby administrator wyłączył zbędne usługi i instalował aktualizacje w chwili, gdy się one ukazują,
- że tak naprawdę tzw. "hacker" to głównie mit, o wiele bardziej niebezpieczni są legalni użytkownicy systemu, którzy po prostu popełniają błędy (np. zapychając zasoby maszyny) (te dane akurat pokrywają się z wynikami analiza Gartnera co do procentowego udziału poszczególnych zagrożeń sieciowych systemów IT), czy też ludzie zajmujący się inżynierią socjotechniczną.

W przypadku serwera w sensownie zarządzanej sieci korporacyjnej nie ma szans na to, że włamywacz będzie działał przez dwa tygodnie, wypróbowywał dziesiątki ataków i nikt nic z tym nie zrobi. Sam system IDS nie pozwoli na takie działania - czysto automatycznie.

Co do iPhone'a - całośc systemu działa z uprawnieniami root-a, wiedziałeś o tym? Mam nadzieję, że tak. :)

PS.
OK, to co tu piszę jest nieco niesportowe, gdyż zagadnieniami bezpieczeństwa zajmuję się zawodowo od 1988 roku. Niemniej.. staram się odróżniać zagrożenia występujące w teorii od rzeczywistości, bo teoretycznie to można wszystko, tylko problem w tym, że w realnym żyiuc, w prawdziwych systemach IT pewne zagrożenia po prostu nie występują "w wersji produkcyjnej", że tak to określę - nawet jeśli istnieje jakiś proof od concept.

Pięknie to wyraził Emmanuel Goldstein (Eric Corley) na imprezie "Hacking at the End of the Universe, Summer Congress 1993" w Lelystad w Holamndii:

"Internet istnieje już 25 lat, a my wszyscy nadal żyjemy!"

W odpowiedzi na pytanie dziennikarza, czy jako szef największego wydawnictwa hackerskiego na Świecie uważa, że cracker może wszystko. :) Słowem - słowo rootkit nie rzuca mnie na kolana - bynajmniej.

PS2.
Bardzo fajny i ciekawy blog.

Zacznę od tego, że generalnie jest tak, jak napisałeś. :)

Bardzo spodobał mi się fragment o szkoleniach, które robisz.

Co do myślenia - cóż.. ja też zaczynałem od łamania zabezpieczeń (zarówno w oprogramowaniu lokalnie, jak i w serwerach sieciowych), a kilka lat później zająłem się łataniem dziur w aplikacjach i systemach. :) Teraz mam mniej więcej takie samo podejście - jeśli widzę gdzieś podniesiony poziom bezpieczeństwa, to odruchowo wyłapuję dziury - np. właśnie na lotnisku, w banku czy w podobnych miejscach. Łącząc się przez WiFi w hotelu - odruchowo sprawdzam co tu mają "nie tak" w konfiguracji. :) Takie zboczenie.

Natomiast dla mnie źródłem najbardziej miarodajnych wyników analiz z "realnego świata" - są testy, które wykonuję w ramach swojej pracy w instytucjach finansowych, rządowych czy w firmach, które są atrakcyjnym celem ataku dla wszelakiej maści włamywaczy/trojanów (niekiedy nawet celowo pisanych celem skompromitowania danej, konkretnej sieci). Tu jest dopiero "jazda" bez trzymanki - czego ludziki nie wymyślają niekiedy! :)

I to co widzę, w naprawdę sensownych instytucjach, gdzie stosuje się dość wymyślne metody kontroli bezpieczeństwa (i kompleksowe - czyli: fizyczne, logiczne i prawne) - naprawdę incydenty tego typu są głównie ciekawostką, o której się słucha na rozmaitych konferencjach. Po prostu dziś istnieją już piekielnie dobre narzędzia do zapewnienia wysokiego poziomu bezpieczeństwa i kontroli działań użytkowników.

Bardzo ważny jest tu "model użytkownika", który w sieci korporacyjnej - nawet pracującej w 100% pod Windows - znacznie bardziej przypomina model znany z UNIXa niż Windows. O co chodzi?

Otóż.. polityka bezpieczeństwa, domena, GPO - biedny user nawet pendriwa nie może użyć, jeśli admin mu nie pozwoli, bo jego system zwyczajnie go nie obsłuży i cześć. Do tego dochodzi monitoring, systemy wykrywania ataków, personel siedzący przy konsolach 24h/7 (rzecz jasna w systemie zmianowym ;-)) itd.

Ale zauważ, że to działa tylko w układzie, gdzie jest admin (.. są admini) i ZU. Gdzie ZU niczego nie instaluje, ani nie konfiguruje samodzielnie, a już broń Boże nie ściąga warezów z torrenta - bo nie może.

Do czego zmierzam?

Otóż systemy UNIX powstały nie dla początkujących użytkowników peceta (bo wtedy takowego nie było), tylko dla informatyków, którzy wiedzą co robią (przynajmniej jest takie założenie).

Tak jak pisałeś gdzieś tam powyżej - w takim systemie niefrasobliwość usera najwyżej skończy się lamentem, że mou ktoś wyrzezał dane z jego konta i.. w zasadzie tyle. :) Daczego? No bo do istotnych zasobów systemu, w tym pisania do aplikacji ma dostęp wyłącznie admin.

Pominąłeś tu jeden detal - ochroną przed tym jedynym problemem są.. backupy. Jak wiemy - "tylko twardziele nie robią backupów" - jeśli ktoś nie ma kopii zapasowej, to sam jest sobie winien. Jeśli admin jej nie robi.. to niestety powinien zmienić pracę (zresztą zaraz, jak to jest możliwe, że wykonywanie kopii zapasowych nie jest kontrolowane, monitorowane itd?).

Problem z Mac OS X (w o wiele mniejszym stopniu jednak z Linuksem) polega na tym, że tutaj rolę "admina" pełni ten niedouczony najczęściej ZU (no dobra.. jest OS X Server, często ma jakiegoś admina.. ale do tej pory nie miałem szczęścia spotkać dobrego.. sam nie wiem czemu). Może to kwestia środowisk, które tego systemu używają... nie wiem. :>

Analogią w tzw. "realu" byłaby sytuacja, gdyby jedynym wymogiem do prowadzenia auta było nauczenie się od kogoś z rodziny, jak się wciska pedały i jak się uruchamia silnik. Myślę, że wyjście na miasto wymagałoby ogromnej odwagi w takim świecie! A tak przecież dzieje się w systemach desktop instalowanych w domach, szkołach czy małych firmach (ok, nie we we wszystkich, ale w większości). Uprawnienia administratora mają często ludzie, którzy nie powinni mieć uprawnień ZU.. tak na dobrą sprawę!

Dlaczego Windows wypada tu najgorzej z całej trójki (powiedzmy, że BSD pomijamy)???

Bo jest to jedyny system, w którym ZU praktycznie musi pracować z uprawnieniami admina, żeby większa część oprogramowania (domowego) po prostu działała.

Skonfiguruj ograniczone konto w XP lub Viście i postaraj się zainstalować najbardziej znane gry, czy inne aplikacje nie od M$ i.. spróbuj ich użyć. Głupi Wakan nie działa tak, jak powinien, a grą nie jest! :D

Dalej, architektura jądra Windows (nadal podatna obsługa komunikatów) warunkuje niższy poziom bezpieczeństwa niż w *NIXach, _nawet_ - gdyby nie było w tym systemie celowo tam wstawianych dziur "rządowych". Po prostu ten produkt tak ma. Microsoft robi ostatnio wiele, żeby choć trochę poprawić sytuację (mniej więcej od XP SP2), niemniej bez przepisania jądra i zmiany kilku innych rzeczy to się nie uda do końca (już w Windows 7 beta widzę, że większość rzeczy jest jak w Viście, pomimo widocznych poprawek).

W Mac OS X bardzo niepokoją mnie wszystkie rozwiązania zamknięte, które Apple tam wkłada na siłę (praktycznie całe GUI i związane z nim mechanizmy) i niestety jestem przekonany, że OS X jest dziurawy jak sito (choć sam go używam - głównie do prezentacji w Keynote i pracy "w delegacjach" - niemniej do trzymania istotnych danych używam Linuksów z całą masą ciekawych zabezpieczeń - poczynając od szyfrowania całych partycji - w tym, rzecz jasna - swapowych).

Dlaczego? Bo Linux tu po prostu wypada najlepiej. Jeśli sam przygotuję: okrojone do moich potrzeb jądro, skrajnie minimalny system tak, że mam tylko, dokładnie te narzędzia, które są wymagane do danej pracy, jeśli dołożę do tego szereg dostępnych w Linuksie mechanizmów bezpieczeństwa - od tych, które oferuje jądro - a w tym: firewall czy filesystem - po rozwiązania działające w userlandzie - to po prostu mogę sobie z tego zrobić informatyczną "fortecę", która nawet po fizycznym dostaniu się w czyjeś "łapiątka" jest dość bezpieczna.. a o dowolnych atakach z sieci można po prostu zapomnieć. Rzecz jasna muszę śledzić informacje dotyczące wykrywanych dziur, wrzucać łatki itd. Ale to i tak robię - bo muszę. :)

Tu uwaga do czyjejś wypowiedzi powyżej: faktycznie atak DNS na repozytorium nie ma sensu (w przypadku sensownych dystrybucji - jak np. Debian) - gdyż paczki są podpisywane cyfrowo i nawet jeśli uda nam się podstawić lewe repo pod ten sam adres w DNS, to nie uda nam się podpisać paczek i system ostrzeże usera, że paczki nie są podpisane lub są podpisane innym kluczem. I po ataku! Słowem - zaatakować skutecznie dobrego Linuksa jest niezwykle trudno.

Nigdzie nie twierdze, że młodociany entuzjasta Linuksa zrobi sobie sam takie rzeczy - ale jest to w Linuksie (czy BSD) możliwe, a w Windows i OS X niestety nie (chyba, że z OS X zostawisz Darwina, ale wtedy to jest Darwin, a nie OS X ;-)).

Co do iPhone: to urządzenie mnie przeraża, a zakochani w nim jego fanatycy jeszcze bardziej mnie przerażają. ;-))))

WOW,
Ciekawa dyskusja,
jestem pod wrażeniem,
FACHOWCY się dogadali,
A "fanboji" się uspokoili,

Pozdrawiam