URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 54873
[ Назад ]

Исходное сообщение
"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"

Отправлено opennews , 25-Май-09 14:22 
На конференции SIGINT 09 (http://sigint.ccc.de/sigint/2009/Fahrplan/events/3143.en.html) представлена (http://www.h-online.com/open/SIGINT-Ubuntu-Privacy-Remix--/n...) бета-версия LiveCD дистрибутива Ubuntu Privacy Remix (https://www.privacy-cd.org/) (UPR), основанного на Ubuntu 9.04 и предназначенного для обеспечения максимально возможной степени изоляции для защиты персональных данных пользователя. Кроме средств для предотвращения проникновения злонамеренного кода, такого как троянские программы, модули перехвата клавиатурного ввода и руткиты, в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.

Ключевые особенности дистрибутива:

-  Базовая система работает только c CD-диска в режиме для чтения. Дистрибутив не предназначен для установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно.

-  Все внешние накопители и локальные...

URL: http://www.h-online.com/open/SIGINT-Ubuntu-Privacy-Remix--/n...
Новость: http://www.opennet.me/opennews/art.shtml?num=21876


Содержание

Сообщения в этом обсуждении
"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Andrew Kolchoogin , 25-Май-09 14:22 
Windows NT такое ещё в 1996 году умела... Класс security C2 -- но без сети. И кому она такая на хрен нужна?

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User294 , 25-Май-09 21:11 
И без флопа... так, для пущей безопасности.
ЗЫ а если компьютер к 220 не подключать - безопасность вообще взлетит до небес.Опасность будет представлять только хакер Вася с кувалдометром.Остальные будут бессильны.

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено idkfa , 25-Май-09 21:58 
Кто старое помянет тому глаз долой. Сейчас семейство Windows сертифицировано на соответствие критериям EAL4+, наравне с Solaris, RHEL, SLES и Oracle Linux. В отличие от hardened gentoo, дебианов и прочего зоопарка

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Дмитрий Ю. Карпов , 25-Май-09 23:27 
> Сейчас семейство Windows сертифицировано на соответствие критериям EAL4+

Входит ли в эти критерии устойчивость к вирусам? А то после установки W'XP сразу вопит о том, что безопасность под угрозой, т.к. не установлен антивирус. Да и с антивирусом нет никакой гарантии.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 04:22 
А что же такое по Вашему "устойчивость к вирусам", сформулируйте пожалуйста? Система безопасности виндовс спроектирована очень грамотно и расположена в самых недрах ядра, причем объектно-ориентированная архитектура только способствует грамотному управлению доступом. И вирус - это такой же самый программный код, как и пасьянс косынка например, и доступ он имеет ровно к тому, к чему разрешено. И если администратор болван и пускает всё, что ни попадя - это проблемы его мозгов, а не архитектуры ОС. И не надо путать баги в стороннем софте с безопасностью операционной системы, можно подумать в том же апаче под линукс не находят ошибок, позволяющих машину поRootить.
И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста, без эмоциональных выпадов.

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User256 , 26-Май-09 07:26 
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

Ловсан. Еще?


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 07:48 
И это по-твоему убедительный аргумент, написанный грамотным техническим языком? Ну был такой зверь лет 5 назад, очень лихо ломал машинки без фаерволла. А всё из-за ошибки в lsass.exe (который кстати, даже не часть ядра), которая позволяла при помощи специального пакета на 445 порт поломать систему. В отдельно взятом модуле ОС из-за ошибки программиста имелась уязвимость, и это по-твоему доказательство плохой архитектуры? Или ты думаешь, что юниксы в этом отношении безгрешные? Достаточно взять любую дыру в NFS, коих была вагон и маленькая тележка, вот тебе и будет аналогом Ловсана- другое дело, что доля юниксов на десктопах исчезающе мала, и поэтому эпидемия возникает только на виндах. Может быть вменяемые и грамотные люди все-таки напишут комментарий именно об архитектуре ОС? Вот лично мне очень интересно.
P.S. User294 тебя засудит за плагиат :-D

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено слэш , 27-Май-09 02:26 
>И это по-твоему убедительный аргумент, написанный грамотным техническим языком? Ну был такой
>зверь лет 5 назад, очень лихо ломал машинки без фаерволла. А
>всё из-за ошибки в lsass.exe (который кстати, даже не часть ядра),
>которая позволяла при помощи специального пакета на 445 порт поломать систему.
>В отдельно взятом модуле ОС из-за ошибки программиста имелась уязвимость, и
>это по-твоему доказательство плохой архитектуры? Или ты думаешь, что юниксы в

Разве кто-то написал что у виндов плохая архитектура?

Волбще речь об устойчивости к вирусам, если Вы не заметили..

"> Сейчас семейство Windows сертифицировано на соответствие критериям EAL4+
Входит ли в эти критерии устойчивость к вирусам? А то после установки W'XP сразу вопит о том, что безопасность под угрозой, т.к. не установлен антивирус. Да и с антивирусом нет никакой гарантии."

>этом отношении безгрешные? Достаточно взять любую дыру в NFS, коих была
>вагон и маленькая тележка, вот тебе и будет аналогом Ловсана- другое
>дело, что доля юниксов на десктопах исчезающе мала, и поэтому эпидемия

Согласен, мир не совершенен, в программах всегда были и всегда будут ошибки, а как следствие - уязвимости.

>возникает только на виндах. Может быть вменяемые и грамотные люди все-таки
>напишут комментарий именно об архитектуре ОС? Вот лично мне очень интересно.

об архитектуре какой ОС? Linux, BSD и прочее.. Из конеекста мне  все же кажется что вы про Windows. Ну подумайте сами, откуда на opennet спецы по виндовс!?

Может все же Вы расскажите об "очень грамотно спроектированной системе безопасности" виндовс, а пацаны-то и не знают!


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 07:48 
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

Эпидемия Conficker'а недавняя, или как там его? Кошмарский раз за разом утилиты
выпускал, которые его "удаляли", постоянно расписываясь в собственной беспомощности.
Эмоциональных выпадов никаких, дело в том, что Вы привели в пример вирусы и совсем не подумали о червях.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 07:59 
>>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>>без эмоциональных выпадов.
>
>Эпидемия Conficker'а недавняя, или как там его? Кошмарский раз за разом утилиты
>
>выпускал, которые его "удаляли", постоянно расписываясь в собственной беспомощности.
>Эмоциональных выпадов никаких, дело в том, что Вы привели в пример вирусы
>и совсем не подумали о червях.

Вы поймите, никто и не спорит с тем, что черви и вирусы есть под винду, есть, и немало. Вы прочитайте с чего обсуждение началось - обсуждалась именно архитектура ОС в свете таких вещей как EAL4+ и С2. И стоит признать, что количество багов уровня Кидо или Лавсана можно посчитать по пальцам, где-то один на несколько лет. Есть баги в конкретной реализации архитектуры, безусловно, но это ошибка конкретной реализации. Тоесть некий плохой кусок кода, который переписывается, заворачивается в патч и дело с концом. Это НЕ просчет в архитектуре (хотя приятного, конечно же, все равно мало).
Меня интересует, что же это за чудо-устойчивость к вирусам, которой в винде нет. Аргументы типа "линукс пишут сплошь гении, не далающие ошибок" оставьте для другого случая. Интересует именно архитектура.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено none , 26-Май-09 15:42 
>[оверквотинг удален]
>началось - обсуждалась именно архитектура ОС в свете таких вещей как
>EAL4+ и С2. И стоит признать, что количество багов уровня Кидо
>или Лавсана можно посчитать по пальцам, где-то один на несколько лет.
>Есть баги в конкретной реализации архитектуры, безусловно, но это ошибка конкретной
>реализации. Тоесть некий плохой кусок кода, который переписывается, заворачивается в патч
>и дело с концом. Это НЕ просчет в архитектуре (хотя приятного,
>конечно же, все равно мало).
>Меня интересует, что же это за чудо-устойчивость к вирусам, которой в винде
>нет. Аргументы типа "линукс пишут сплошь гении, не далающие ошибок" оставьте
>для другого случая. Интересует именно архитектура.

Все очень просто - теория сильно разнится от практики, дизайн от имплементации...
Сравним КОМ и КОРБА, один создается на коленке и потом, кое-как подгоняют спецификации, у др. есть спецификации, на основе кот. строят реализации
про ОпенХМЛ и его реализацию и стандартизацию стоит упоминать ;)
была Альфа и ДЕК из кот. делали систему грамотные люди, но пришли маркетологи и идея превратилась в набор дерьма, кот. наз виндоуз...
и вся история МСявых пестрит подобным подходом
была HPFS - получили NTFS и бросили (фактически) её развитие
и вот она терь ошибки индексов плодит на кучах компов ;)
Купили антивирус (давно дело было) - и... - прально свернули развитие его
МС многие технологие купила/стындила, изговняла (сделала несовместимыми с оригиналом) и свернула развитие (ЛДАП стал АД)
да кое-как развивают, когда уж совсем допекут их жалобами и тыканием носом в их какашки...
Вот дефендер купили ;) - што дальше будет надо рассказывать? ;)
Коннектих купили http://ru.wikipedia.org/wiki/Microsoft_Virtual_PC
и пока рынок не продавил - закуклили его развитие


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 09:08 
>[оверквотинг удален]
>это такой же самый программный код, как и пасьянс косынка например,
>и доступ он имеет ровно к тому, к чему разрешено. И
>если администратор болван и пускает всё, что ни попадя - это
>проблемы его мозгов, а не архитектуры ОС. И не надо путать
>баги в стороннем софте с безопасностью операционной системы, можно подумать в
>том же апаче под линукс не находят ошибок, позволяющих машину поRootить.
>
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

Насколько я помню в windows NT 3.51 рендеринг графики/шрифтов
выполнялся в user-mode. В NT 4 GDI перенесли в kernel-mode. Очевидно при этом разработчики ОС пожертвовали безопвсностью ради производительности.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 09:22 
Это вообще не в тему:( Да, после переноса графики в ядро, _теоретически_ увеличился риск возникновения БСОДов, но не более того. Во-первых, это совершенно никак не стабильности не отразилось, проблемы если и возникают- то по причине корявых драйверов устройств, к котором майкрософт никакого отношения не имеет. Во-вторых, даже в winNT до версии 4.0, ошибка типа нарушения доступа в csrss.exe (где раньше жила графика, до переезда в драйвер win32k.sys) все равно бы привела к краху системы, поэтому никакого уменьшения надежности в действительности не произошло. В третьих, ничего подобного на практике не наблюдалось. И в четвертых, это совершенно никак не связано с вирусами, о которых сейчас идет речь.

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 10:41 
>Это вообще не в тему:( Да, после переноса графики в ядро, _теоретически_
>увеличился риск возникновения БСОДов, но не более того. Во-первых, это совершенно
>никак не стабильности не отразилось, проблемы если и возникают- то по
>причине корявых драйверов устройств, к котором майкрософт никакого отношения не имеет.
>Во-вторых, даже в winNT до версии 4.0, ошибка типа нарушения доступа
>в csrss.exe (где раньше жила графика, до переезда в драйвер win32k.sys)
>все равно бы привела к краху системы, поэтому никакого уменьшения надежности
>в действительности не произошло. В третьих, ничего подобного на практике не
>наблюдалось. И в четвертых, это совершенно никак не связано с вирусами,
>о которых сейчас идет речь.

Не теоретически, а практически увеличилось количество кода выполняющегося с завышенным уровнем привилегий. Вы это называете "архитектура только способствует грамотному управлению доступом"? Чушь собачья.

Чисто маркетинговая необходимость повысить производительность привела к архитектурному уродству, вот и всё.

Успехов.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 10:51 
>Не теоретически, а практически увеличилось количество кода выполняющегося с завышенным уровнем привилегий.

И что дальше? КУЧА кода выполняется с "завышенным уровнем привелегий", и если код написан _грамотно_, то ничего страшного не произойдет (что в случае win32k.sys давно доказано на практике). И если не хотите выглядеть пустобрёхом, приведите хотя бы парочку описаний _конкретных проблем с безопасностью_, причиной которой стал перенос графики в ядро. Жду с нетерпением.

>Вы это называете "архитектура только способствует грамотному управлению доступом"? Чушь собачья.

Чушь несете Вы, смешивая теплое с мягким. Никакой связи между переносом графики в ядро и системой безопасности объектов Windows не существует.

>Чисто маркетинговая необходимость повысить производительность привела к архитектурному уродству, вот и всё.

Да что Вы говорите? :-D А звуковые драйверы как по Вашему работает, а сетевые? С точно таким же уровнем привелегий, как и графика в ядре виндовс. Практически любая современная ОС - урод в Вашем изврещенном понимании.

>Успехов.

И Вам не хворать.



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 11:18 
>>Не теоретически, а практически увеличилось количество кода выполняющегося с завышенным уровнем привилегий.
>
>И что дальше? КУЧА кода выполняется с "завышенным уровнем привелегий", и если
>код написан _грамотно_, то ничего страшного не произойдет (что в случае
>win32k.sys давно доказано на практике). И если не хотите выглядеть пустобрёхом,
>приведите хотя бы парочку описаний _конкретных проблем с безопасностью_, причиной которой
>стал перенос графики в ядро. Жду с нетерпением.
>

Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
Published: January 10, 2006


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 11:21 
>>Не теоретически, а практически увеличилось количество кода выполняющегося с завышенным уровнем привилегий.
>
>И что дальше? КУЧА кода выполняется с "завышенным уровнем привелегий", и если
>код написан _грамотно_, то ничего страшного не произойдет (что в случае
>win32k.sys давно доказано на практике). И если не хотите выглядеть пустобрёхом,
>приведите хотя бы парочку описаний _конкретных проблем с безопасностью_, причиной которой
>стал перенос графики в ядро. Жду с нетерпением.
>

Microsoft Security Bulletin MS05-053
Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)
Published: November 8, 2005 | Updated: December 9, 2008

Дайте две, да ?


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 11:54 
>Microsoft Security Bulletin MS05-053
>Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424)
>Published: November 8, 2005 | Updated: December 9, 2008
>
>Дайте две, да ?

Мда... :-D Вы хотя бы сами-то читали описание этих биллютеней, или с английским траблы? Или Вы наивно считаете, что можете подсунуть мне ЭТО в качестве аргументов, которые я попросил привести? Я напомню ;)

>приведите хотя бы парочку описаний _конкретных проблем с безопасностью_, причиной которой стал перенос графики в ядро

Внимательно читаем последнюю часть фразы: "причиной которой стал ПЕРЕНОС ГРАФИКИ В ЯДРО".

Что говорят приведенные Вами биллютени? Они доказывают лишь общеизвестный факт, что "да, в винде есть ошибки, в том числе те, что приводят к удаленному захвату управления системой". А о чем шел разговор? Да о том, как именно повлиял _перенос_ графической системы из usermode в kernelmode. Как это связано с тем, что Вы мне тут гордо приподнесли? Да НИКАК!
Там описываются 2 проблемы с безопасностью рендеринга. Первая- это возможность удаленного исполнения кода при рендеринге специально-подготовленных встроенных шрифтов (при чтении почты в Outlook'e или при просмотре какого-либо злобного сайта). А вторая - это аналогичная проблема, но уже с участием специально-подготовленных метафайлов (wmf/emf). Проблемы, которые заключаются в том, что в DLL ПОЛЬЗОВАТЕЛЬСКОГО РЕЖИМА имеется бажный код с возможностью переполнения буфера в стеке, позволяя тем самым запустить на атакуемой машине вредоносный код. При чем тут ДРАЙВЕР win32k.sys? Если бы графика была в csrss.exe, то проблема бы НИКУДА не исчезла, ибо причина её не в уровне привелегий (ring0 or ring3), а в том, что программист наваял бажный код и оставил там переполнение буфера. Не говоря уже о том, что речь идет о совершенно другой части системы, расположенной в иерархии гораздо выше win32k.sys
Тоесть либо Вы просто не можете остановиться и будете до упора сотрясать воздух любой ценой, либо просто неграмотный в этом отношении и не можете понять о чем именно сейчас идет речь.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 12:24 
>Что говорят приведенные Вами биллютени? Они доказывают лишь общеизвестный факт, что "да,
>в винде есть ошибки, в том числе те, что приводят к
>удаленному захвату управления системой".
>Там описываются 2 проблемы с безопасностью рендеринга. Первая- это возможность удаленного исполнения
>кода при рендеринге специально-подготовленных встроенных шрифтов (при чтении почты в Outlook'e
>или при просмотре какого-либо злобного сайта). А вторая - это аналогичная
>проблема, но уже с участием специально-подготовленных метафайлов (wmf/emf). Проблемы, которые заключаются
>в том, что в DLL ПОЛЬЗОВАТЕЛЬСКОГО РЕЖИМА имеется бажный код с
>возможностью переполнения буфера в стеке, позволяя тем самым запустить на атакуемой
>машине вредоносный код.

Рендеринг шрифтов как раз не "DLL ПОЛЬЗОВАТЕЛЬСКОГО РЕЖИМА" режима делает. Об этом собственно и речь.

При чем тут ДРАЙВЕР win32k.sys? Если бы графика
>была в csrss.exe, то проблема бы НИКУДА не исчезла, ибо причина
>её не в уровне привелегий (ring0 or ring3), а в том,
>что программист наваял бажный код и оставил там переполнение буфера.

после "ПЕРЕНОСА ГРАФИКИ В ЯДРО" проблема стала БОЛЬШЕ.

Бажный код - причина всех зол, несомненно. Но подумайте о последствиях. Если в итоге злоумышленник получает возможность выполнения своего кода на уровне ring0, то последствия этого гораздо опаснее чем выполнение кода в ring3. Этой возможности не было в ранних версиях.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 13:04 
>Рендеринг шрифтов как раз не "DLL ПОЛЬЗОВАТЕЛЬСКОГО РЕЖИМА" режима делает. Об этом
>собственно и речь.

Да что Вы говорите... Я Вам повторно рекомендую прочитать о тех уязвимостях, что Вы же мне и привели. Если с английским все-таки проблемы, я могу помочь:

A heap overflow vulnerability exists in T2EMBED.DLL, which Internet Explorer invokes to process EOT fonts. The data within an EOT file is compressed in Agfa MicroType Express format, which hosts an LZ-compressed stream that includes a 24-bit allocation size. This size + 1C00h is allocated within the function MTX_LZCOMP_UnPackMemory, but the resulting allocation size is not validated before data is copied into the block, allowing a malformed EOT file to cause an essentially arbitrary-length heap buffer overflow with binary data.

Суть уязвимости такова: имеются так называемые встраиваемые шрифты, файлы с расширением .eot, имеется T2EMBED.DLL, DLL ПОЛЬЗОВАТЕЛЬСКОГО РЕЖИМА, которая занимается их декомпресией. В одной из функций этой DLL имеется бага, конкретно- heap buffer overflow, позволяющая злоумышленнику выполнить на атакуемой машине вредоносный код. Например во время чтения html-письмеца в Outlook или прогулки в Internet Explorer.
Я уже писал выше, что проблема эта - никак не связана именно с графической подсистемой Windows, которая представлена драйвером win32k.sys. Проблема именно в ВЫСОКОУРОВНЕВОЙ библиотеке ПОЛЬЗОВАТЕЛЬСКОГО режима, и Ваш пример с MS06-002 здесь _совершенно_ ни к месту.
Для желающих ознакомиться со статьей в оригинале: http://research.eeye.com/html/advisories/published/AD2006011...

>При чем тут ДРАЙВЕР win32k.sys?

Да, хороший вопрос. К тем биллютеням, что Вы мне привели якобы в пример, он действительно отношения не имеет. А вообще-то должен был иметь. Я Вам уже сказал, что примеры Вы не по теме привели.

>Бажный код - причина всех зол, несомненно. Но подумайте о последствиях. Если
>в итоге злоумышленник получает возможность выполнения своего кода на уровне ring0

Читайте Выше... Ни о каком выполнении кода в ring0 даже не идет речи

>Этой возможности не было в ранних версиях.

В ранних версиях NT графика находилась в процессе Win32-подсистемы, файлик называется csrss.exe. Файлик этот хоть и пользовательского режима, но все же не совсем обычный- любая ошибка в нем приводит к краху системы, точно так же, как если бы начал чудить драйвер режима ядра. Поэтому в отношении графики, перенос этого функционала в ядро, ничуть не сделал систему менее стабильной. Даже в WinNT 3.51 любая ошибка csrss.exe систему Crashила.
Нет, я конечно же согласен с тем, что с кернел-моде кодом нужно быть предельно осторожным, лично я обоими руками за то, чтобы все драйверы перетащить в юзерспейс, как только получится. Но покуда большинство их работает в режиме ядра, нечего лицемерить и обвинять винду, что она такая вся бажная из-за несчастной графической подсистемы в ядре.



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 13:17 
> и Ваш пример с MS06-002 здесь _совершенно_ ни к месту.

Да, пожалуй, промахнулся. Видимо стоило к Вам серьезнее отнестись.

Font Rasterizer Local Elevation of Privilege Vulnerability - CVE-2007-1213:

A local elevation of privilege vulnerability exists in the TrueType Fonts rasterizer in the way that it handles defective or modified font types. This vulnerability could allow a logged-on user to take complete control of the system.


>>При чем тут ДРАЙВЕР win32k.sys?
>
>Да, хороший вопрос. К тем биллютеням, что Вы мне привели якобы в
>пример, он действительно отношения не имеет. А вообще-то должен был иметь.
>Я Вам уже сказал, что примеры Вы не по теме привели.

Это вы уже сами с собой дискутируете :)

>[оверквотинг удален]
>обычный- любая ошибка в нем приводит к краху системы, точно так
>же, как если бы начал чудить драйвер режима ядра. Поэтому в
>отношении графики, перенос этого функционала в ядро, ничуть не сделал систему
>менее стабильной. Даже в WinNT 3.51 любая ошибка csrss.exe систему Crashила.
>
>Нет, я конечно же согласен с тем, что с кернел-моде кодом нужно
>быть предельно осторожным, лично я обоими руками за то, чтобы все
>драйверы перетащить в юзерспейс, как только получится. Но покуда большинство их
>работает в режиме ядра, нечего лицемерить и обвинять винду, что она
>такая вся бажная из-за несчастной графической подсистемы в ядре.

Мне нравится как Вы защищаете ось, которая наверно одна на свете, неспособная жить без этой графической подсистемы. :)


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Square , 26-Май-09 13:51 
>Мне нравится как Вы защищаете ось, которая наверно одна на свете, неспособная
>жить без этой графической подсистемы. :)

Мне например глубоко все равно как внутри устроено устройство, если оно делает то что нужно и делает хорошо.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 14:20 
>> и Ваш пример с MS06-002 здесь _совершенно_ ни к месту.
>
>Да, пожалуй, промахнулся. Видимо стоило к Вам серьезнее отнестись.
>
>Font Rasterizer Local Elevation of Privilege Vulnerability - CVE-2007-1213:

Не хотелось бы Вас расстраивать, но в очередной раз мимо:( Вы все-таки не понимаете о чем идет речь и упорно в третий раз подряд показываете мне хрестоматийные уязвимости с переполнением буфера. Тоже мне, открыли Америку, как будто это для кого-то тайна. А о чем шел изначально разговор? "Какая именно архитектурная особенность Windows делает её более восприимчивой к вирусам?". Вы ответили: "Ядерная графика". Я попросил доказательства, на что Вы ответили тройкой левых уязвимостей, которые совершенно никак не доказывают Вашу точку зрения. В третий раз повторять одно и то же я не стану.

>Мне нравится как Вы защищаете ось, которая наверно одна на свете

И я совершенно не испытываю на этот счет никаких комплексов, умиляйтесь сколько в Вас влезет.

>неспособная жить без этой графической подсистемы. :)

Зато живёт нормально и не заставляет пользователей испытывать то, что порой испытывают линуксоиды при настройке видео. И только не надо утверждать как там все радужно и хорошо- сам каждый день это вижу.
Всего доброго.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено potter_ru , 26-Май-09 15:14 
>
>>неспособная жить без этой графической подсистемы. :)
>
>Зато живёт нормально и не заставляет пользователей испытывать то, что порой испытывают
>линуксоиды при настройке видео. И только не надо утверждать как там
>все радужно и хорошо- сам каждый день это вижу.
>Всего доброго.

У меня всё радужно и хорошо. Сервера без X-ов и никаких проблем с видео.

Спите спокойно.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено vlad , 26-Май-09 10:06 
>[оверквотинг удален]
>это такой же самый программный код, как и пасьянс косынка например,
>и доступ он имеет ровно к тому, к чему разрешено. И
>если администратор болван и пускает всё, что ни попадя - это
>проблемы его мозгов, а не архитектуры ОС. И не надо путать
>баги в стороннем софте с безопасностью операционной системы, можно подумать в
>том же апаче под линукс не находят ошибок, позволяющих машину поRootить.
>
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

Ну винда позиционирует себя как ОС для домохазяек... Так что о каком админе вы говорите? И получается безопасность должна быть на уровне "Поставила домохазяйка и не парится". А так получается не получается никогда.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 10:16 
>Ну винда позиционирует себя как ОС для домохазяек...

Что за чушь? Винда из серий 9х/Me - возможно, но уже лет как 15 существует Windows NT, который позиционируется совсем иначе.

>Так что о каком админе вы говорите?

Вот в этом и дело, что пользователи линукс- это искушенные в области IT люди, способные грамотно настроить систему. И доля линуксов на десктопах столь мала, что совершенно не интересует хозяев крупных ботнетов. Об этом и речь, что причина кроется в квалификации пользователя, а не в архитектуре ОС. И винду можно настроить так, что никакие вирусы к Вам не проберутся, только многие ли этим заморачиваются?

>И получается безопасность должна быть на уровне "Поставила домохазяйка и не парится".

В большинстве случаев винда подбирается к этому идеалу достаточно близко... Но проблема, как известно, в головах :) И слишком уж лакомый кусочек эта самая домохозяйка.

>А так получается не получается никогда.

нипанятна)



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Jerzy , 27-Май-09 17:34 
>[оверквотинг удален]
>>Так что о каком админе вы говорите?
>
>Вот в этом и дело, что пользователи линукс- это искушенные в области
>IT люди, способные грамотно настроить систему. И доля линуксов на десктопах
>столь мала, что совершенно не интересует хозяев крупных ботнетов. Об этом
>и речь, что причина кроется в квалификации пользователя, а не в
>архитектуре ОС. И винду можно настроить так, что никакие вирусы к
>Вам не проберутся, только многие ли этим заморачиваются?
>
>>И получается безопасность должна быть на уровне "Поставила домохазяйка и не парится".

ага, и в это время люди УПРОЩАЮТ убунту :)


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 11:30 
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

Насчет технической стороны не скажу, я не системный программист, но что бросается в глаза, так это "безопасность для домохозяек":
Если отбросить именно наличие дыр и эксплоитов под них, а взять такой способ размножения вирусов как "по глупости пользователя", то тут винда просто лакомый кусочек для писателей вирусов и западлостроителей. В линуксе вполне реально, что пользователь не сможет ничего запустить кроме уже установленного, а в винде? Что-то похожее есть в административных оснастках винды, но это на порядок геморойнее. То же самое и в плане работы не от админа. Под линуксом это просто и привычно, а вот под виндой - это надо постараться и это опять же на порядок геморойнее.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 12:11 
>взять такой
>способ размножения вирусов как "по глупости пользователя", то тут винда просто
>лакомый кусочек для писателей вирусов и западлостроителей.

Именно по причине "глупости пользователей".

>В линуксе вполне реально, что пользователь не сможет ничего запустить кроме уже установленного, а в винде?

И в винде очень даже реально:) У меня например так ;)

>Что-то похожее есть в административных оснастках винды, но это на порядок геморойнее.

Ну насчет "на порядок геморойнее" - это вопрос спорный и неоднозначный. Попробуйте-ка посадидить домохозяйку в линукс и заставить её настраивать безопасность системы, посмотрю я на Вас:) Для большинства простых смертных (не IT-шников) способ настройки аля винда все же предпочтительнее, тем более, что буквально на каждом шагу система предлагает прочитать справку по текущим действиям, причем на родном языке пользователей! Это очень большой плюс.

>То же самое и в плане работы не от админа. Под линуксом это просто и привычно

Вопрос- для кого просто и привычно? Для линуксоида конечно:)

> а вот под виндой  это надо постараться и это опять же на порядок геморойнее.

А Вы теперь попробуйте подумать, почему это так? Взять домашнего пользователя, принес он домой честно-купленную игрушку (которых под линукс практически нет), вставляет диск в cdrom и что он видит? Какой-нибудь бля***ий СтарФорс или что-нибудь ему подобное хочет установить свой поганый драйвер безопасности и естественно требует администраторских привелегий! И чтобы избежать того самого гемороя, юзер всегда сидит под админом, чтобы каждая новая игрушка (и не только) не сверлила ему мозги. "Авось пронесет!". И таких примеров можно привести массу.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 14:05 
>Ну насчет "на порядок геморойнее" - это вопрос спорный и неоднозначный. Попробуйте-ка
>посадидить домохозяйку в линукс и заставить её настраивать безопасность системы, посмотрю
>я на Вас:)

Ой ну домохозяйки домохозяйками, но даже большинство продвинутых юзеров об этом не заморачивается.
А вообще под линуксом - поставил, создался юзер, когда надо используешь рута, да и дефолтные настройки в большинстве дистров достаточно безопасны, на каждом форуме скажут, что под рутом сидеть нельзя...
А вот под виндой: поставил, создался админ, используется простой общий доступ к файлам, и вот когда человек дошел до понимания безопасности и нужности прав доступа он начинает ковырять, изучать, спрашивать (кстати, посмотрит он на своих знакомых виндовых компьютерщиков, которые в большинстве своем сами сидят под админом и плюнет).
Так что гипотетическая домохозяйка в линуксе будет сидеть под юзером и ставить софт из репозиториев, потому что не будет знать, что можно как-то иначе, а под виндой эта же гипотетическая домохозяйка будет сидеть под админом, ставить софт откуда придется, именно потому что она не знает как подругому.

Плюс достаточно много виндового софта требует записи в директорию своей установки, а согласитесь, что это геморойно вручную давать доступ на запись в папку и некоторые файлы и отменять его на бинарь, длл-ки и остальное.
Это не проблема винды, а проблема кривого софта? Ну дык только и имеет смысл рассматривать линукс (шире *никс) и виндовс в контексте окружения прикладным софтом, а не голое ядро.


> ... на каждом шагу система предлагает прочитать справку по текущим действиям,
> причем на родном языке пользователей! Это очень большой плюс.

Угу и где эта справка про необходимость работать под юзером? Где подсказка про необходимость настраивать с напильником права доступа? Где справка про то, что дефолтные настройки по авторану с флешек и дисков нужно отключить?
Так что важна не столько справка, а дефолтные настройки и процесс организации работы пользователя с системой с самого начала.

>> а вот под виндой  это надо постараться и это опять же на порядок геморойнее.
>А Вы теперь попробуйте подумать, почему это так? Взять домашнего пользователя, принес
>он домой честно-купленную игрушку (которых под линукс практически нет), вставляет диск
>в cdrom и что он видит? Какой-нибудь бля***ий СтарФорс или что-нибудь
>ему подобное хочет установить свой поганый драйвер безопасности и естественно требует
>администраторских привелегий!

Неужели эту проблему нельзя решить? Вон в убунте вообще по дефолту в рута не зайдешь, а значит все должно удобно работать через sudo. Производители винды должны были создать архитектуру, позволяющую удобно работать под юзером, навязать ее производителям прикладного софта, а они сделали так, как проще им, софтостроителям и домохозяйкам. А вирусы? Ну что вирусы, пусть и производители антивирей подзаработают )) Я не верю, что программисты майкрософт тупые индусы, и для меня непонятно, почему в винде нет нормальной системы по работе с правами доступа и устанавливаемым/запускаемым софтом.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 14:50 
>Ой ну домохозяйки домохозяйками, но даже большинство продвинутых юзеров об этом не
>заморачивается.

И это их личное горе.

>А вообще под линуксом - поставил, создался юзер, когда надо используешь рута,
>да и дефолтные настройки в большинстве дистров достаточно безопасны, на каждом
>форуме скажут, что под рутом сидеть нельзя...

Домохозяйки (в контексте обсуждаемого вопроса) не ходят по компьютерным форумам, им это вообще до фени.


>Так что гипотетическая домохозяйка в линуксе будет сидеть под юзером и ставить
>софт из репозиториев, потому что не будет знать, что можно как-то
>иначе

Это справедливо лишь до тех пор, пока линукс занимает несчастный 1 процент десктопного рынка:) И в коммерческие игрушки со старфорсом не играет, и в каждой коробке с принтером и сканером диск с линуксовыми драйверами не лежит.

>а под виндой эта же гипотетическая домохозяйка будет сидеть под
>админом, ставить софт откуда придется, именно потому что она не знает
>как подругому.

Потому что есть причины, заставляющие её делать именно так, и эти причины стороннего происхождения, ОС тут не при чем. Я буду только рад, если Вы вразумите всех издателей коммерческого софта отказаться от защитных драйверов, и всех блондинок заставите побольше думать о компьютерной безопасности:) Но современные реалии совершенно иные.


>Плюс достаточно много виндового софта требует записи в директорию своей установки, а
>согласитесь, что это геморойно вручную давать доступ на запись в папку
>и некоторые файлы и отменять его на бинарь, длл-ки и остальное.

Это опять же проблема криворуких разработчиков. Весь корпоративный сегмент сидит в виндами под ограниченными аккаунтами, и, представьте себе, работают ;)

>Это не проблема винды, а проблема кривого софта? Ну дык только и
>имеет смысл рассматривать линукс (шире *никс) и виндовс в контексте окружения
>прикладным софтом, а не голое ядро.

Я уже про это говорил. Очень некорректно сравнивать набор софта под линукс и под винду. Многих вещей, принуждающих народ сидеть в винде под админами, в линуксе просто нет - те же самые коммерческие игрушки с "ядерной" защитой от копирования. Скажите, что игрушки не нужны? Кто-то может с Вами и согласится, но многие, думаю, будут против ;)

>Угу и где эта справка про необходимость работать под юзером? Где подсказка
>про необходимость настраивать с напильником права доступа? Где справка про то,
>что дефолтные настройки по авторану с флешек и дисков нужно отключить?

Это писать совершенно бессмысленно:) Простые юзеры просто не будут этим всем заниматься, потому что им ВЛОМ и они не хотят себе создавать лишние неудобства. А вот люди, которые понимают серьезности проблемы, делают это безо всяких напоминаний.

>Неужели эту проблему нельзя решить? Вон в убунте вообще по дефолту в
>рута не зайдешь, а значит все должно удобно работать через sudo.
>Производители винды должны были создать архитектуру, позволяющую удобно работать под юзером,
>навязать ее производителям прикладного софта, а они сделали так, как проще
>им, софтостроителям и домохозяйкам. А вирусы? Ну что вирусы, пусть и
>производители антивирей подзаработают )) Я не верю, что программисты майкрософт тупые
>индусы, и для меня непонятно, почему в винде нет нормальной системы
>по работе с правами доступа и устанавливаемым/запускаемым софтом.

Вся проблема в том, что Вы просто слабо разбираетесь в архитектурах и винды и линукса. И поверьте мне, винда предоставляет абсолютно те же возможности, что и убунта в этом отношении. Есть там и разделение доступа, и возможность периодически запускать программы от чужого имени (как в sudo), есть такая вещь как Software Restriction Policies, по сравнению с которой noexec просто детский лепет:) Проблема в одном- большинству пользователей всё это ПО БАРАБАНУ. И если линукс когда-нибудь сменит винду на этом поприще, то я ни на секунду не сомневаюсь, что и его ждут те же самые проблемы.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 16:19 
>И это их личное горе.

Давно уже вирус на компе юзера перестал быть личным горем юзера, вспомнить хотя бы сети ботентов.

>Домохозяйки (в контексте обсуждаемого вопроса) не ходят по компьютерным форумам, им это
>вообще до фени.

В том то и прикол, что им неоткуда узнать, что и как делать, они работают с системой по дефолту, вот про сравнение дефолтных настроек линукса и винды я изначально и пытался сказать.

>Это справедливо лишь до тех пор, пока линукс занимает несчастный 1 процент
>десктопного рынка:) И в коммерческие игрушки со старфорсом не играет, и
>в каждой коробке с принтером и сканером диск с линуксовыми драйверами
>не лежит.

А что изменится? Ну вот есть судо, точно так же будет требоваться ввести пароль, для установки дров и т.п. Опишите как Вы видите ситуацию, когда линукс будет на 50% десктопов.

>Потому что есть причины, заставляющие её делать именно так, и эти причины
>стороннего происхождения, ОС тут не при чем. Я буду только рад,
>если Вы вразумите всех издателей коммерческого софта отказаться от защитных драйверов,
>и всех блондинок заставите побольше думать о компьютерной безопасности:) Но современные
>реалии совершенно иные.

Я не заставлю, и Вы не заставите, а МС вполне мог и может прогнуть их в нужную сторону, установив четкие правила игры.

>>Плюс достаточно много виндового софта требует записи в директорию своей установки, а
>>согласитесь, что это геморойно вручную давать доступ на запись в папку
>>и некоторые файлы и отменять его на бинарь, длл-ки и остальное.
>Это опять же проблема криворуких разработчиков. Весь корпоративный сегмент сидит в виндами
>под ограниченными аккаунтами, и, представьте себе, работают ;)

Я занимаюсь в том числе и ИТ-аутсорсингом и у меня тоже те, кто работают в винде, работают в ограниченных аккаунтах. Представляете? ;) Я же не говорю, что это невозможно, я говорю, что это сложно, геморойно, а для домашнего пользователя практически непосильная, пугающая и изначально НЕИЗВЕСТНАЯ задача.

>>Это не проблема винды, а проблема кривого софта? Ну дык только и
>>имеет смысл рассматривать линукс (шире *никс) и виндовс в контексте окружения
>>прикладным софтом, а не голое ядро.
>Я уже про это говорил. Очень некорректно сравнивать набор софта под линукс
>и под винду. Многих вещей, принуждающих народ сидеть в винде под
>админами, в линуксе просто нет - те же самые коммерческие игрушки
>с "ядерной" защитой от копирования. Скажите, что игрушки не нужны? Кто-то
>может с Вами и согласится, но многие, думаю, будут против ;)

Вы считаете, что игры могут устанавливаться только со старфорсом, а старфорс может работать только говенным образом?
Неужели создать систему, при которой инсталлятор, требующий админских привелегий, выводит диалоговое окошко с требованием ввести юзеровский же пароль (как в суду)?

>Это писать совершенно бессмысленно:) Простые юзеры просто не будут этим всем заниматься

Я Вас не понимаю, а зачем же тогда Вы писали следующее:

"Для большинства простых смертных (не IT-шников) способ настройки аля винда все же предпочтительнее, тем более, что буквально на каждом шагу система предлагает прочитать справку по текущим действиям, причем на родном языке пользователей! Это очень большой плюс."

Ведь мы обсуждаем безопасность, я Вас спросил про справку винды в контексте безопасности, а тут Вы отказываетесь от своих слов. Потроллить захотелось?

>потому что им ВЛОМ и они не хотят себе создавать лишние
>неудобства.

А у линукса так подефолту, а значит не надо отхватывать гемороя и не нужен дополнительный, неизвестно откуда взявшийся у домохозяйки багаж знаний.

>Вся проблема в том, что Вы просто слабо разбираетесь в архитектурах и
>винды и линукса.

Раньше обычно красноглазые линуксоиды начинали утверждать, что собеседник просто неуч, а теперь вот это удел и виндузятников.


> Есть там и разделение доступа

да что Вы говорите, а я то не знал. Ай-яй-яй.


> возможность периодически запускать программы от чужого имени (как в
>sudo)

"Запуск от имени"? Вы просто мне открыли глаза ;)


> есть такая вещь как Software Restriction Policies, по сравнению с
>которой noexec просто детский лепет:)

И снова открытие! Я же писал, что подобное есть в административных оснастках винды (вот уж название технологии позабыл). Вот только эта штуковина никак неавтоматизирована, требует ручное создание белых/черных листов, которые необходимо корректировать под новую ситуацию. Конечно она мощнее noexec, но таки noexec это не последний бастион. Есть такие вещи как SELinux, вот с ними и сравнивайте ;)

Есть еще такой момент как запуск программы не с правами запускающего, а с правами другого пользователя, без геморойного "Запуск от имени". Я про setuid- или setgid-биты. Как с этим в винде? (Если такое в висте уже есть, то признаюсь, что не знал).

Для корпоративных пользователей, за которыми следит грамотный ИТ отдел, возможностей винды достаточно, в таком случае можно и погемороится со спискоми разрешенного софта. А что же с домашними пользователями и кучей малых и средних предприятий, где админы не столь грамотны, чтобы увидеть офигенную справку от МС? Только не говорите, что это их личные проблемы - ботнеты и спам еще никто не отменял.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 13:22 
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

1. большинство программ для этой ОС не умеют работать в ограниченном экаунте и требуют прав администратора.
2. первый созданный пользователь в процессе установки почему-то имеет права администратора «по умолчанию»

такое требование повышенных прав доступа для обычной ежедневной работе как раз и является "неустойчивая к вирусам by design"


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 26-Май-09 14:31 
>1. большинство программ для этой ОС не умеют работать в ограниченном экаунте
>и требуют прав администратора.

Какое такое большинство? Это проблемы не ОС, а кривых рук программиста. У меня почему-то весь софт работает из под ограниченного аккаунта, если Вы пользуетесь каким-то глючным поделием Васи Пупкина, то ему и предъявляйте все претензии. Винда тут совершенно не при чем. Что касается привелегированных операций типа установки драйвера, то здесь конечно требуется администраторские права и винда в этом отношении ничем не отличается от того же линукса.

>2. первый созданный пользователь в процессе установки почему-то имеет права администратора «по умолчанию»

Не надо говорить ерунды. Этот Ваш "первый созданный пользователь" и есть администратор компьютера, просто система предлагает Вам добавить для него желаемое Вами экранное имя и пароль, грубо говоря сделать root'a, но с любым именем. Двух админов после установки в системе ясное дело не будет. После чего вполне можно ограниченный аккаунт создать.

>такое требование повышенных прав доступа для обычной ежедневной работе как раз и
>является "неустойчивая к вирусам by design"

Нет никаких повышенных прав доступа для обычной ежедневной работы и выше я уже написал почему. Под виндой вполне живется без админских привелегий, а если что-то этому и мешает, так кривые руки сторонних разработчиков, не осиливших нормальное программирование под Windows NT. Радует то, что и осиливших предостаточно.



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 15:16 
>пользуетесь каким-то глючным поделием Васи Пупкина, то ему и предъявляйте все
>претензии. Винда тут совершенно не при чем.

Для того, чтобы прожиг дисков от неро заработал под юзером, нужна тулза, которая только недавно вошла в стандартную поставку. Так что про глючное поделие Васи Пупкина Вы загнули.



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Square , 26-Май-09 15:40 
>>пользуетесь каким-то глючным поделием Васи Пупкина, то ему и предъявляйте все
>>претензии. Винда тут совершенно не при чем.
>
>Для того, чтобы прожиг дисков от неро заработал под юзером, нужна тулза,
>которая только недавно вошла в стандартную поставку. Так что про глючное
>поделие Васи Пупкина Вы загнули.

Это маркетинговая политика Неро. Раньше эта тулза была свободно доступна с их сайта.. за деньги... Неро так деньги зарабатывать пыталось...


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 16:22 
>Это маркетинговая политика Неро. Раньше эта тулза была свободно доступна с их
>сайта.. за деньги... Неро так деньги зарабатывать пыталось...

Дык и я про тоже. Если бы МС четко устанавливала правила игры для софтостроителей, то подобного бы не было.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Читатель , 26-Май-09 17:58 
>>1. большинство программ для этой ОС не умеют работать в ограниченном экаунте
>>и требуют прав администратора.
>
>Какое такое большинство? Это проблемы не ОС, а кривых рук программиста. У
>меня почему-то весь софт работает из под ограниченного аккаунта, если Вы
>пользуетесь каким-то глючным поделием Васи Пупкина, то ему и предъявляйте все
>претензии. Винда тут совершенно не при чем. Что касается привелегированных операций
>типа установки драйвера, то здесь конечно требуется администраторские права и винда
>в этом отношении ничем не отличается от того же линукса.

Ты видимо не работал с 1С 7.7 Вполне себе коммерческий продукт... Хотя и кривоват от Васи не Пупкина.))

>>2. первый созданный пользователь в процессе установки почему-то имеет права администратора «по умолчанию»
>
>Не надо говорить ерунды. Этот Ваш "первый созданный пользователь" и есть администратор
>компьютера, просто система предлагает Вам добавить для него желаемое Вами экранное
>имя и пароль, грубо говоря сделать root'a, но с любым именем.
>Двух админов после установки в системе ясное дело не будет. После
>чего вполне можно ограниченный аккаунт создать.

Ты про висту чтоли? Сам не видел, но народ из-за этого сильно ругался. Но при этом у него ЗАВЫШЕНЫЕ ПРАВА.
Если ты про ХР то там по дефолту либо ты АДМИНИСТРАТОР, либо ты вводишь пользователя, но с ПРАВАМИ АДМИНИСТРАТОРА, то ТЫ всегда АДМИНИСТРАТОР

>>такое требование повышенных прав доступа для обычной ежедневной работе как раз и
>>является "неустойчивая к вирусам by design"
>
>Нет никаких повышенных прав доступа для обычной ежедневной работы и выше я
>уже написал почему. Под виндой вполне живется без админских привелегий, а
>если что-то этому и мешает, так кривые руки сторонних разработчиков, не
>осиливших нормальное программирование под Windows NT. Радует то, что и осиливших
>предостаточно.

Видна до сих пор позиционируется как ОС для домохозяек. В ядерной физике самое опасное это дилетант. Тоже применимо и для ИТ (и ИБ). Про сторонних разработчиков ты конечно прав, но и разработчики МС тоже криворуки, сейчас я точно не вспомню точно, но работа Офиса требовала админских прав, какой именно офис не помню уже.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено слэш , 27-Май-09 01:58 
>А что же такое по Вашему "устойчивость к вирусам", сформулируйте пожалуйста? Система
>безопасности виндовс спроектирована очень грамотно и расположена в самых недрах ядра,
>причем объектно-ориентированная архитектура только способствует грамотному управлению доступом.

хм.. простите, но разве "система безопасности виндовс спроектирована очень грамотно", "причем объектно-ориентированная архитектура только способствует грамотному управлению доступом" не голословные утверждения?
Не понимаю, с чего вы взяли что "спроектирована очень грамотно" и каое отношение "объектно-ориентированная архитектура" имеет к "система безопасности"?

>И вирус - это такой же самый программный код, как и пасьянс косынка например,
>и доступ он имеет ровно к тому, к чему разрешено. И
>если администратор болван и пускает всё, что ни попадя - это
>проблемы его мозгов, а не архитектуры ОС. И не надо путать
>баги в стороннем софте с безопасностью операционной системы, можно подумать в
>том же апаче под линукс не находят ошибок, позволяющих машину поRootить.
>
>И если Вы все-таки соблоговолите привести аргументы, доказывающие, что винда "неустойчивая к
>вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста,
>без эмоциональных выпадов.

И если Вы все-таки соблаговолите привести аргументы, доказывающие, что винда "УСТОЙЧИВА к вирусам by design", с удовольствием послушаю ;) Только техническим языком, пожалуйста, без эмоциональных выпадов ;-)



"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено netc , 26-Май-09 09:29 
>В отличие от hardened gentoo, дебианов и прочего зоопарка

Че то не пойму откуда вы такой умный пришли, если по вашему debian И gentoo зоопарк

По дебиан - ему и так все верят, потому, что он дебиан - основа всех основ.
Если хотите узнать что такое зоопарк, то Вам на distrowatch там ИМХО их предостаточно.

Генту - система для профессионалов, и как мне кажеться вы еще не доросли до неё (судя по реплике)


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено слэш , 27-Май-09 01:38 
имеется кое какой опыт эксплуатации Hardened Gentoo, а именно патчи на ядро, PaX/grsecurity + Hardened toolchain (патчи на gcc/glibc/binutils)
имхо, достойная штука..

Хотя Gentoo  побольшом счету тут не причем, что-то подобное есть и в других дистрах, в выше упомянутом Debian.

http://en.wikipedia.org/wiki/PaX
http://en.wikipedia.org/wiki/Grsecurity
http://en.wikipedia.org/wiki/Stack-smashing_protection
http://en.wikipedia.org/wiki/Exec_Shield

в свое время установил, что ядро hardened-sources-2.6.24, без заплаток, но с сконфигурированными PaX/grsecurity не подвержено уязвимостям описанным в CVE-2008-0600, CVE-2008-0009 и CVE-2008-0010, в отличии от gentoo-sources-2.6.24


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено слэш , 27-Май-09 00:53 
>Кто старое помянет тому глаз долой. Сейчас семейство Windows
>сертифицировано на соответствие
>критериям EAL4+, наравне с Solaris, RHEL, SLES и Oracle Linux. В
>отличие от hardened gentoo, дебианов и прочего зоопарка

вот именно, "наравне", хотя Windows ни разу не ровня той же Solaris ;-)

http://ru.wikipedia.org/wiki/Common_Criteria
"Итак, допустим некий продукт сертифицирован в соответствии со стандартом Common Criteria. О каком уровне защищённости это говорит?

В соответствии с методикой производитель сам определяет окружение и модель злоумышленника, в которых находится продукт. Именно в этих предположениях и проверяется соответствие продукта заявленным параметрам. Если после сертификации в продукте обнаружатся новые, неизвестные ранее уязвимости, производитель должен выпустить обновление и провести повторную сертификацию. В противном случае сертификат должен быть отозван.

Операционная система Microsoft Windows XP (исходная версия, без SP1) была сертифицирована на уровень Common Criteria EAL4+, после чего для неё было выпущено два пакета обновлений (service pack) и регулярно выпускаются новые критические обновления безопасности. Тем не менее Windows XP в исходной версии по прежнему обладает сертификатом EAL4+, никаких дополнительных сертификаций не проводилось. Это факт говорит о том, что условия сертификации (окружение и модель злоумышленника) были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Разумеется, для реальных конфигураций многие из этих уязвимостей представляют опасность. Microsoft рекомендует пользователям устанавливать все критические обновления безопасности."


http://en.wikipedia.org/wiki/EAL4%2B


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено слэш , 27-Май-09 01:01 
>Кто старое помянет тому глаз долой. Сейчас семейство Windows сертифицировано на соответствие
>критериям EAL4+, наравне с Solaris, RHEL, SLES и Oracle Linux. В
>отличие от hardened gentoo, дебианов и прочего зоопарка

- Это такси?
- Такси.
- А почему без шашечек?
- Вам шашечки или ехать?


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Александр , 27-Май-09 08:54 
>Windows NT такое ещё в 1996 году умела... Класс security C2 --
>но без сети. И кому она такая на хрен нужна?  На словах многое умела - только дырявая насквозь )))))))

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено анонимный аналитик , 25-Май-09 14:24 
а еще большую степень защищенности можно достигнуть вообще не включая компьютер - тогда уж точно ни руткитов ни троянов бояться не стоит

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 14:28 
>Все внешние накопители и локальные жесткие диски ПК могут быть смонтированы >только в режиме "noexec", недопускающем выполнение программ с внешних >носителей.

[user0@cool ~]$ echo uname > ./uname
[user0@cool ~]$ bash < ./uname
Linux
[user0@cool ~]$


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено XoRe , 25-Май-09 14:38 
>>Все внешние накопители и локальные жесткие диски ПК могут быть смонтированы >только в режиме "noexec", недопускающем выполнение программ с внешних >носителей.
>
>[user0@cool ~]$ echo uname > ./uname
>[user0@cool ~]$ bash < ./uname
>Linux
>[user0@cool ~]$

Можно ли так запустить бинарник?


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 14:51 
У меня бинарники, на которых не стоит бит execute, спокойно запускались через /lib/ld-linux.so.2 $binary. Интересно, там это сработает?
А вообще да, без сети оно нафиг не нужно.

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 18:41 
>У меня бинарники, на которых не стоит бит execute, спокойно запускались через
>/lib/ld-linux.so.2 $binary. Интересно, там это сработает?

«не стоит бит execute» и noexec - это разные вещи
$ /lib/ld-linux.so.2 ./echo
./echo: error while loading shared libraries: ./echo: failed to map segment from shared object: Operation not permitted


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User294 , 25-Май-09 21:22 
>У меня бинарники, на которых не стоит бит execute, спокойно запускались через
>/lib/ld-linux.so.2 $binary.

Оригинально 8).Вспомнились подобные эксперименты в винде.В итоге я научился создавать невидимые процессы - по свойствам как отдельный процесс, только в системном списке задач не значится - система не воспринимает сие как процесс, хоть оно и обладает его свойствами.В конечном итоге - через нестандартные фортели такго же плана. А тут тоже интересные фокусы на эту тему оказывается есть...


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено spamtrap , 25-Май-09 14:38 
и зачем оно нужно?

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено G04a , 25-Май-09 16:55 
видимо чтобы без опаски изрыгать проклятия и призывы к насилию в gedit :)

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено charon , 25-Май-09 15:22 
вещь в себе :)

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Square , 25-Май-09 15:32 
И залогиниться в него нельзя, поскольку пароль  пользователя перегенерируется случайным образом при запуске...

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Анонинимус_ , 25-Май-09 17:14 
> И залогиниться в него нельзя, поскольку пароль  пользователя перегенерируется случайным образом при запуске...

Действительно. Для мусульман и христиан дистр выпустили. Теперь дистр для даосов вот.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено FreeV , 25-Май-09 17:37 
Смешно даже. Не пишисать ничего на болванки, выдернуть сетевую карту и вайфай, прописать в fstab noexec везде, где можно и да будет счастье. Пересобрать ядро соответствующим образом, наконец.

По ходу, автор статьи не видел этого: http://absurdopedia.wikia.com/wiki/Открытая_Бздя


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User294 , 25-Май-09 21:24 
>Пересобрать ядро соответствующим образом, наконец.

Да, натурально - а модули там грузить можно?Если да - непорядок, надо запретить.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 17:39 
да не, так то нужная вещь - если надо где то важные данные хранить

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 17:49 
>да не, так то нужная вещь - если надо где то важные
>данные хранить

можно хранить жесткий с важными данными под подушкой


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено анонимус , 25-Май-09 17:41 
Можно еще и жесткий вынуть, чтобы данные точно не исчезли и не повредились

> Каждую ночь на всякий случай форматируются все доступные диски.
> В том числе и доступные на расстоянии в радиусе 30 км


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User294 , 25-Май-09 21:27 
>> В том числе и доступные на расстоянии в радиусе 30 км

Это EMP-вооружением чтоли?Тогда у бабушек телевизоры отформатируются и они будут недовольны...


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено boon , 25-Май-09 18:06 
> в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.
> Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bleutooth запрещено.

keep it simple stupid. Истинно так :)


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено User294 , 25-Май-09 21:26 
>keep it simple stupid. Истинно так :)

А можно еще компьютер заменить на железный ящик такого же объема.Если на нем никто ничего не делал, функционал не изменится и фанаты принципа "keep it simple stupid" могут праздновать безоговорочную победу.


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено boon , 26-Май-09 00:24 
Я про то, что есть проблема - защититься от слежения со стороны государства (соответственно, следить они могут через сеть, иначе, не представляю как), а самый простой способ с этим справиться - отключить сеть напрочь. Просто как камень...

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Feadot , 26-Май-09 08:36 
>Я про то, что есть проблема - защититься от слежения со стороны
>государства (соответственно, следить они могут через сеть, иначе, не представляю как),
>а самый простой способ с этим справиться - отключить сеть напрочь.
>Просто как камень...

А еще нужпо моместить рабочее место в железобетонный бункер с толщиной стенок в 10 метров. Внутри поставить дизельный генератор. И в надежде на отсутсвие компроментирующих побочных сигналов играть в пасьянс...


"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено Аноним , 25-Май-09 19:37 
млин нужно еще этот диск гвоздем поцарапать чтобы привод его не прочитал - не понятно - нафиг такая салянка нужна - извращение - даже не могу представить ситуации когда нужна ОС без сети... бред проще заюзать тогда BusyBox и менешье и все что надо - лучше бы другими вещами занялись

"Представлен свехзащищенный вариант Ubuntu - Privacy Remix"
Отправлено SKeeper , 26-Май-09 11:33 
>млин нужно еще этот диск гвоздем поцарапать чтобы привод его не прочитал
>- не понятно - нафиг такая салянка нужна - извращение -
>даже не могу представить ситуации когда нужна ОС без сети... бред
>проще заюзать тогда BusyBox и менешье и все что надо -
>лучше бы другими вещами занялись

Вообще говоря да, дистр ненужный. Если уж нужен комп без сети и возможности запускать доп. софт, то это делается без доп. дистра.

Честно говоря думал, что тут будет написано про что-нить вроде SELinux и других надстроек для безопасности. Вот дистр годный для реальной работы в сети и при этом параноидально защищенный - вот это интересно, а этот - ниочем :(


"Представлен сверхзащищенный вариант Ubuntu - Privacy Remix"
Отправлено OneROFL , 28-Май-09 14:21 
Еще комп забетонировать, монитор только в выключеном режиме поддерживается,
при обнаружении клавиатуры включается режим самоуничтожения.