The anatomy of Flashfake. Časť 1

20.04.2012 | 14:55 | dodoedo | Novinky

Pre tých, ktorých to zaujíma je tu článok z názvom "The anatomy of Flashfake. Časť 1. ". Jeho autor v ňom prehľadne podáva objektívnu postupnosť všetkých kritických krokov, vedúcich k inicializácii známeho botnetu, vytvoreného z napadnutých Mac OS X strojov po svete (pre info si pozri Správičky na našom linuxos.sk). Je treba veľmi kategoricky poznamenať, že operačný systém Mac OS X (Apple) spolu s Linuxom sú právom považované za najbezpečnejšie perfektné operačné systémy dnešnej doby, vzhľadom na ich základ a architektúru odvodenú/prevzatú zo slávneho UNIX. Ale sebe-bezpečnejší operačný systém dopláca na (kritické) chyby softvéru 3. strán, v tomto prípade na kritické chyby v Java-kóde. V našom linuxovom ekosystéme sa "Opravári kódu" snažia o aplikáciu opráv týchto chýb čo možno najrýchlejšie, ako náhle takúto opravu kódu zverejnia iní "Opravári softvéru 3. strán", v tomto prípade Oracle softvéru Java. V článku si pozrite rozdielnu časovú postupnosť aplikácie jednotlivých opráv kódu (patchov) pre Oracle a Apple. Dôsledky takýchto postupov sú už bohužiaľ známe.

    • certifikáty a bezhlavá autorizácia 20.04.2012 | 18:04
      WlaSaTy   Návštevník
      Na zdrojovom článku je krásne vidno dôsledok bezhlavého inštalovania programov tretích strán aj s bezdôvodným povolením prístupu k administrácii počítača. Ak človek ignoruje neplatnosť certifikátu a navyše povolí správu počítača neznámemu procesu, tak sa dostane do problémov. Bez ohľadu na kvalitu a typ použitého OS.

      Toto je opakovanie situácie ktorú si pamätníci pamätajú z čias, keď sa vo veľkom začali používať ActiveX komponenty (bezhlavé klikanie na Yes, I agree to install that) a bola len otázka času kedy sa ďalší OS stane zaujímavý pre tvorcov botnetu. História sa opakuje.

      Otázku prečo Apple radšej zopár týždňov testovalo danú záplatu či nenarobí neplechu nemá význam rozoberať. Tak isto nemá zmysel rozoberať, či tá chyba bola známa Oracle už dávnejšie keďže okolo času vydania opravy bolo odoprené distribuovanie Oracle java frameworku linuxovým distribúciám. Bežné linuxové distribúcie musieli už pred zopár týždňami vyradiť Oracle Java framework a nahradiť ho otvreným Java frameworkom. Bolo to vtedy, keď Oracle ukončilo testovanie otvorenej javy a skonštatovalo že je dostatočne stabilná.

      Linux má jednu nespornú výhodu, a tou je centralizovaná správa inštalačných balíčkov. Takže človek dokáže s jedným nástrojom udržiavať celý systém. Podobne to majú síce aj ostatné OS, ale len pre základy (OS, certifikované ovládače a zopár dodaných programov). Rýchlosť nasadzovania opráv v Linuxe je oveľa vyššia, ale za cenu používania menej ootestovaného a odladeného programového vybavenia. Teda, pokiaľ sa nejedná o rock stable serverové enterprise edície. Človek si 2x rozmyslí či nasadí neotestovaný software na servri od ktorého závisí práca napríklad 2000 zamestnancov. Takže, zváženie rizika je na každom jednom zodpovednom človeku.
      • Re: certifikáty a bezhlavá autorizácia 20.04.2012 | 18:46
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
        Nespornou výhodou Linuxu a pridruženého free softvéru je aj otvorenosť a možnosť opravy závažnej bezpečnostnej chyby do pár hodín.
        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • Re: certifikáty a bezhlavá autorizácia 20.04.2012 | 19:57
          WlaSaTy   Návštevník
          Otvorenosť nezaručuje rýchlejšiu opravu. Viď posledný incident v sambe. Z hlavy si nespomeniem či to bolo zneužiteľné dlhšie ako strcpy v libc s ktorým tiež obchodovali black hat dlhé roky.

          Ale masové nasadenie botnetu závisí od penetrácie cieľa útoku a návratnosti investícií. Tak, ako to bolo napríklad s botnetom na routroch s linuxovým firmware. Blbé je, že rovnaký typ prieniku sa už dlho používa aj go svete Androidu. Človek povolí nezmyselné oprávnenia a je nakazený. A distribúcia je vykonávaná s prehľadom cez Android market ( play store ).
          • Re: certifikáty a bezhlavá autorizácia 21.04.2012 | 02:15
            Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
            Ak sa nemýlim pokiaľ sa chyba nahlásila bola hneď odstránená. Samozrejme určite existujú diery ktoré niesu nahlásené a preto ich nikto neopravuje.
            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • Re: certifikáty a bezhlavá autorizácia 21.04.2012 | 12:31
              WlaSaTy   Návštevník
              Otázkou je kto ju nájde a komu to nahlási. A čo sa s tým potom stane..

              Takže odsudzovať closed source riešenie len preto že je niekto zaujatý smrdí rasizmom. Rasisti tiež odsudzujú ľudí hoci aj kôli noseniu turbanu a nie šiltovky šitej podľa známeho strihu.
              • Re: certifikáty a bezhlavá autorizácia 23.04.2012 | 08:34
                Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
                Ja som fanda free/open softvéru a verím tomu že bazár je lepší ako katedrála, som rasista?
                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                • Re: certifikáty a bezhlavá autorizácia 23.04.2012 | 14:39
                  WlaSaTy   Návštevník
                  Rasista odsudzuje. Ty preferuješ. V tom je jadro odlišného pohľadu.

                  Inak, nie si sám. Ale, ja sa orientujem na základe obchodného modelu z ktorého pramení životný cyklus. Ak ma niečo nezaujme, tak to neodsudzujem. Nemám dôvod odsudzovať sochu ktorú vytesal kamenár Abdul Aziz aj keď ma nezaujala, najmä ak som ju nevidel. A tak isto Abdul Aziz nemá dôvod odsudzovať moju prácu ak ho nezaujala. A či som o tej soche čítal názor niekoho iného, tak to ma neovplyvní.