The anatomy of Flashfake. Časť 1
Pre tých, ktorých to zaujíma je tu článok z názvom "The anatomy of Flashfake. Časť 1. ". Jeho autor v ňom prehľadne podáva objektívnu postupnosť všetkých kritických krokov, vedúcich k inicializácii známeho botnetu, vytvoreného z napadnutých Mac OS X strojov po svete (pre info si pozri Správičky na našom linuxos.sk). Je treba veľmi kategoricky poznamenať, že operačný systém Mac OS X (Apple) spolu s Linuxom sú právom považované za najbezpečnejšie perfektné operačné systémy dnešnej doby, vzhľadom na ich základ a architektúru odvodenú/prevzatú zo slávneho UNIX. Ale sebe-bezpečnejší operačný systém dopláca na (kritické) chyby softvéru 3. strán, v tomto prípade na kritické chyby v Java-kóde. V našom linuxovom ekosystéme sa "Opravári kódu" snažia o aplikáciu opráv týchto chýb čo možno najrýchlejšie, ako náhle takúto opravu kódu zverejnia iní "Opravári softvéru 3. strán", v tomto prípade Oracle softvéru Java. V článku si pozrite rozdielnu časovú postupnosť aplikácie jednotlivých opráv kódu (patchov) pre Oracle a Apple. Dôsledky takýchto postupov sú už bohužiaľ známe.
Pre pridávanie komentárov sa musíte prihlásiť.
Toto je opakovanie situácie ktorú si pamätníci pamätajú z čias, keď sa vo veľkom začali používať ActiveX komponenty (bezhlavé klikanie na Yes, I agree to install that) a bola len otázka času kedy sa ďalší OS stane zaujímavý pre tvorcov botnetu. História sa opakuje.
Otázku prečo Apple radšej zopár týždňov testovalo danú záplatu či nenarobí neplechu nemá význam rozoberať. Tak isto nemá zmysel rozoberať, či tá chyba bola známa Oracle už dávnejšie keďže okolo času vydania opravy bolo odoprené distribuovanie Oracle java frameworku linuxovým distribúciám. Bežné linuxové distribúcie musieli už pred zopár týždňami vyradiť Oracle Java framework a nahradiť ho otvreným Java frameworkom. Bolo to vtedy, keď Oracle ukončilo testovanie otvorenej javy a skonštatovalo že je dostatočne stabilná.
Linux má jednu nespornú výhodu, a tou je centralizovaná správa inštalačných balíčkov. Takže človek dokáže s jedným nástrojom udržiavať celý systém. Podobne to majú síce aj ostatné OS, ale len pre základy (OS, certifikované ovládače a zopár dodaných programov). Rýchlosť nasadzovania opráv v Linuxe je oveľa vyššia, ale za cenu používania menej ootestovaného a odladeného programového vybavenia. Teda, pokiaľ sa nejedná o rock stable serverové enterprise edície. Človek si 2x rozmyslí či nasadí neotestovaný software na servri od ktorého závisí práca napríklad 2000 zamestnancov. Takže, zváženie rizika je na každom jednom zodpovednom človeku.
Ale masové nasadenie botnetu závisí od penetrácie cieľa útoku a návratnosti investícií. Tak, ako to bolo napríklad s botnetom na routroch s linuxovým firmware. Blbé je, že rovnaký typ prieniku sa už dlho používa aj go svete Androidu. Človek povolí nezmyselné oprávnenia a je nakazený. A distribúcia je vykonávaná s prehľadom cez Android market ( play store ).
Takže odsudzovať closed source riešenie len preto že je niekto zaujatý smrdí rasizmom. Rasisti tiež odsudzujú ľudí hoci aj kôli noseniu turbanu a nie šiltovky šitej podľa známeho strihu.
Inak, nie si sám. Ale, ja sa orientujem na základe obchodného modelu z ktorého pramení životný cyklus. Ak ma niečo nezaujme, tak to neodsudzujem. Nemám dôvod odsudzovať sochu ktorú vytesal kamenár Abdul Aziz aj keď ma nezaujala, najmä ak som ju nevidel. A tak isto Abdul Aziz nemá dôvod odsudzovať moju prácu ak ho nezaujala. A či som o tej soche čítal názor niekoho iného, tak to ma neovplyvní.