Джон Лаример (Jon Larimer) из подразделения IBM X-Force продемонстрировал (http://www.net-security.org/secworld.php?id=10544) потенциальную подверженность настольных Linux-систем атакам, связанным с распространением вредоносного кода через организацию автоматического выполнения кода после вставки USB-накопителя.
Спецификации freedesktop.org определяют возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, но обязательно при этом требуют вывода подтверждения данной операции от пользователя, не выполняя никаких действий автоматически. Тем не менее, во время подключения USB-накопителя в системе выполняется множество действий, таких как выполнение кода драйверов, автоматическое монтирование файловых систем и построение эскизов изображений десктоп-приложениями. При наличии уязвимости в любом из этих компонентов, ее можно использовать для организации автоматического выполнения кода.
В качестве примеров, рассмотрено несколько уязвимостей в USB-драйвере, ко...URL: http://www.net-security.org/secworld.php?id=10544
Новость: http://www.opennet.me/opennews/art.shtml?num=29532
Кля, уродство! Я думал, что этот идиотизм с autorun.ini есть только в офтопике. Какой ПИ догадался это ПИ перетащить в nix? Нафига этот бред вообще нужен?
если ты прочитаешь внимательно то поймёшь что проблема не в autorun
Читал, винимательно, два раза - думал крыша к вечеру поехала...
Ну вот нафига? Нафига сканировать при подключении флешку? Индексировать чего-то там, создавать эскизы... Кому это нужно?
твоя бабушка вставила флешку.Если автоматом не появится окно с превью файлов, она ничего не сможет сделать. Это будет фейл ОС.
твоя бабушка вставила флешку.Автоматом появится окно с запросом в стиле "Хотите ли Вы запустить файл startup.run" (наверняка там, в этих файлах autorun, можно писать какой-то комментарий к выполняемому действию - забиваем туда, например "Для корректного подключения устройства нажмите Ok"), она, кстати, убеждённая теми, кто ей поставил Линукс в том, что в этой ОС вирусов не бывает и бояться нечего, жмёт Ok. Запускается скрипт с флешки, для убедительности показывает какое-нибудь умное окошко, прописывается в пользовательский кронтаб и делает свои грязные дела. Это будет фейл ОС.
А не догадаться, что после подключения носителя информации надо запустить файловый менеджер может только человек, который не знает о том, что такое файловый менеджер - стоит ли на них ориентироваться?
Убунте - стоит.
Вообще защитить систему от самого пользователя невозможно.
если бы вы вникли в тему то поняли бы что конкретно ubuntu тут ни при чём - дело в современных GNOME/KDE/etc куда тянут всё что ни попадя из винды совершенно не думая.ну и в криворуких админах что это всё потом настраивают ещё более бездумно
> конкретно ubuntu тут ни при чёмКак раз при чём -- там _очень_ склонны решать сиюминутные задачи грязным хаком.
> куда тянут
Кто? Сферические GNOME developers, код которых в первозданном виде попадает в дистрибутивы?..
Умиляют меня убунтозащитники с пеной у рта :(
> ну и в криворуких админах
Хех.
Never underestimate the power of the default (c)
В целом, так и непонятно насколько убунту причем. Во первых для того, чтобы заработал взлом опять погрызли базовую поставку. Во вторых опять дырки PDF и прочем, а значит пострадает не только убунта. В третих в Simply Linux наприпер вываливаеться окно, а не запустить ли нам авторан. При этом XUbuntu этого нет.
И последнее самое главное это _настройка_, во всех известной системе при всей юзерфренности, надо несколько дней танцевать с бубном перед реестром чтобы отключить нафиг эти автораны, эскизы и доконца это сделать так и не получаеться.
Ну а почему это ей, и стоит? А другим - не стоит? Вы говорите так, как будто кроме убунты есть только гента, а она не десктопная.
> Убунте - стоит.
> Вообще защитить систему от самого пользователя невозможно.Возможно :-)
# mount_msdosfs /dev/da0s1 /mnt
> после подключения носителя информации надо запустить файловый менеджерИ какая разница, запустится ли файловый менеджер автоматически или через пять секунд по требованию пользователя? Если на флешке есть вредоносный файл, уязвимость в ФМ сработает в любом случае.
через пять секунд по требованию пользователся может запуститься не оконный менеджер, строящий эскизы всего подряд (хотя режим просмотра может быть и без эскизов), а консоль с шелом ;)
> не оконный менеджер, строящий эскизы всего подрядДо чего дошел прогресс! А какой оконный манагер умеет строить эскизы? Я на него посмотрел бы чисто из любопытства, т.к. не догоняю: зачем бы оконному манагеру надо строить какие-то там эскизы?!
> А какой оконный манагер умеет строить эскизы?s/оконный/файловый/
Стоит, стоит!
Бабушки платят деньги за обучение комптуперу и с большим удовольствиям тыкают кнопки в линуксе, смотрят "интернеты" и совецике фильмы. Один дедок как только добрался до браузера полез порно в тырннете искать(в егото возрасте, учись молодёж, пиво и сыгарки не позволят вам этого через 40 лет =))) )
Мама моя, которая знает кде этот железный ящиу включается и где выключается и где кнопка запуска игрушки и ОО с успехом использует линукс для игры в WOW и написания книжки.
Вчера блондинка принесла ноут на ремонт с убунтой, там квип в вайне стоял=) Говорит сама скачала и поставила=) Когда я начал чегойто говориь про отключеное аудио в биос, была фраза возмущения, ведь биос есть только в винде, а у меня линукс!
Так что контингент ОС очень даже обширен.
Вас очень тяжело читать. Я не осилил весь текст
> Вчера блондинка принесла ноут на ремонт с убунтой, там квип в вайне
> стоял=) Говорит сама скачала и поставила=)Покажите человеку qutim :)))
Особенно как он с треском сыпется
> прописывается в пользовательский кронтаб
> делает свои грязные дела. Это… точно не винда?
Вот в том то всё и дело!
Не для бабушек линукс, для них винда. Не надо популяризировать линукс и делать его для бабушек, понимаете? Когда то это был инструмент для профессионалов, нужно что бы он таким и остался. Я искренне считаю что до линукса нужно дорости и учится ему. А фейл-ос у нас уже есть, зачем ещё одна?? Пусть линукс будет инструментом для профи, для бабушек, дедушек, школьничков есть ос, где всё автоматически делается.
> Не для бабушек линукс, для них винда. Не надо популяризировать линукс и делать его для бабушек, понимаете? Когда то это был инструмент для профессионалов, нужно что бы он таким и остался. Я искренне считаю что до линукса нужно дорости и учится ему. А фейл-ос у нас уже есть, зачем ещё одна?? Пусть линукс будет инструментом для профи, для бабушек, дедушек, школьничков есть ос, где всё автоматически делается.Линукс.. профи.. дорасти.. Мнда. Корона то не жмет нет? Может чуть ослабить ремешки?
> Линукс.. профи.. дорасти.. Мнда. Корона то не жмет нет? Может чуть ослабить
> ремешки?Какая корона? Вы бабушке доверите какой нибудь другой сложный дорогой инструмент, прибор, аппарат? Так почему комп доверяете? Будете ли вы упрощать какой то сложный научный прибор или инструмент, что бы им смогла пользоваться бабушка? Нет, нет и нет - во всех этих смыслах теряется качество и значимость инструмента, и искуственно повышается значимость бабушки. Какая корона, блин, чистейшая логика, которой наделены, казалось, все...
> Какая корона? Вы бабушке доверите какой нибудь другой сложный дорогой инструмент, прибор, аппарат? Так почему комп доверяете? Будете ли вы упрощать какой то сложный научный прибор или инструмент, что бы им смогла пользоваться бабушка? Нет, нет и нет - во всех этих смыслах теряется качество и значимость инструмента, и искуственно повышается значимость бабушки.И как давно обычный пользовательский ширпотреб перевели в категорию сложных научных приборов? Массовый десктоп - *любой* хоть на линкусе хоть на винде - это как раз тот самый ширпотреб. Хоть на ПС хоть на ипаде хоть на нетбуке или комуникаторе. Он *специально* разрабатывался для этих целей. Иначе массы его просто не примут. Со всеми вытекающими.
> Какая корона, блин, чистейшая логика, которой наделены, казалось, все...
Намеренная? близорукость и дешевые понты не имеют ничего общего с логикой. 21й век на дворе. Идет постепенный но неумолимый процесс проникновения альтернативных систем на мобильный и десктопный рынок. И попытки игнорировать этот факт и все ещё рассматривать линкусу как некое сакральное нечто аки только для крутых-крутых профи-писец-как-хакеров... Это могло быть смешно и сойти за шутку лет пять назад. Сегодня же это выглядит просто глупо.
Пересадите его на бсд, пускай еще лет 10 чувствует себя избранным.
Э, ну как бы вам это проще объяснить. К примеру, я разрабатывают решения, которые используют Линукс-системы. Так вот, мне какать с высокой колокольни на бабушек и их проблемы с вирусами. Я даю человеку инструмент, рабочий инструмент, он может им дело делать, а может себе пальцы отбивать. Это не моё дело заботиться о проблемах эксплуатации у нецелевой аудитории.
Линукс на десктопе, как и сам десктоп, идея сиюминутная, совершенно бесприбыльная и мёртворождённая. А бабушки и прочие дебилы пусть сами о себе заботятся. Если не мог - это их проблемы.
Система понятий офигенная - "я разрабатывают", "какать на бабушек", "Это не моё дело", "бабушки и прочие дебилы". Может человечку школу какую порекомендовать, пусть походит ещё?
> ипаде хоть на нетбуке или комуникаторе. Он *специально* разрабатывался для этих
> целей. Иначе массы его просто не примут. Со всеми вытекающими.айПад, да, специально разрабатывался. Всё остальное - и близко нет.
> Всё остальное - и близко нет.Ух ты: человечище, видевший Всё Остальное (включая Mac Classic, конечно).
Не передёргивайте. Я говорю о нынешних предложениях на масс. рынке. И экономически эффективных моделях такого предложения. Мне кажется, айПад отличный пример того, что устройство с, в общем-то, жёстко диктуемой разработчиком моделью использования может иметь ошеломительный коммерческий успех. Т.е. ординарные пользователи совсем не против, чтобы их вгоняли в ограничивающие рамки. Вопрос лишь в том, как это предложить.
просто глупо выглядят утверждения, что универсальным инструментом можно пользоваться без обучения. ну, и ты вместе с этими утверждениями глупо выглядишь, конечно.а процесс идёт, да только другой: расслоение рынка на рынок разных спецдивайсов. для книжек — один. для игр — другой. и ты пы.
тебе правильно всё сказали: не надо упрощать сложный универсальный инструмент и втюхивать его бабушкам. потому что для бабушек он всё равно останется сложным, а те, кто раньше этим инструментом нормально пользовались, будут вынуждены бороться с «бабушкиными упрощениями». для бабушек — спецдевайсы. потому и придуманые, чтобы пользователь не ломал себе мозг чтением манов, когда он хочет просто фоточки посмотреть и под кинцо расслабиться.
> Массовый десктоп - *любой* хоть на линкусе хоть на винде - это как раз тот самый ширпотреб.это всё-таки ещё высокотехнологичный предмет обращению с которым надо много и упорно учится. а то что его ради продаж свели до ширпотреба - так тут несовершенство нашего общества.
> это всё-таки ещё высокотехнологичный предмет обращению с которым надо много и упорно учится. а то что его ради продаж свели до ширпотреба - так тут несовершенство нашего общества.Если вдруг окажется, что, к примеру, для обращения с скайпом пользователю придется много и упорно учится - у скайпа начнутся серьезные проблемы. Очень серьезные.
Кто-то много и серьезно учится перед тем, как подойти к холодильнику, плите или стиральной машине? От силы - пролистал инструкцию. Это при том, что у меня дома во всех трех стоит процессор, который ещё каких-то 'не так давно' лет назад мог быть топовым на десктопе. Тоже своего рода 'десктоп' но лишь с жестко ограниченной функциональностью и средствами ввода-вывода (вывод впрочем со временем и здесь идет лишь вперед и вперед).
А не буду писать. Надоело. Все, что можно было написать по теме - уже было по 10ть раз написано. Флеймить нет настроения.
>Кто-то много и серьезно учится перед тем, как подойти к холодильнику, плите или стиральной машине? От силы - пролистал инструкцию.Посмотрел бы я на останки тех, кто просто "пролистал инструкцию" от автомобилей для блондинок от Microsoft Vehicles =)) Бабушка за компом не просто покупатель, это источник вирья и геморроя окружающим.
Потому что компьютер — не стиральная машина, и в нём не только процессор, это высокотехнологичный предмет, как совершенно справедливо выше заметил ув. aim.
оно не поймёт. потому что аргументов у неко нет, зато есть смертельный укус в мозг пиарастами подхода «для вождения права не нужны!»
> Вот в том то всё и дело!
> Не для бабушек линукс, для них винда. Не надо популяризировать линукс и
> делать его для бабушек, понимаете?Винда - эталон удобства. Люди рождаются и знают, где у неё там что. Правда же?
Ну конечно нет. Она такая же непростая штука, как и линукс. Более того - для меня Linux проще. Если линукс это не убунта, где половина действий производится в консоли. По нему бы ещё книжек - и об этом узнали бы люди.
> твоя бабушка вставила флешку.
> Если автоматом не появится окно с превью файлов, она ничего не сможет
> сделать. Это будет фейл ОС.А если у твоей бабушки авторан попросит рутовый пароль? Она ж его введёт... Понял где фейл-ос? Автораны не нужны. Должны быть средства сделать всё это по запросу. Например-вылезает уведомление о ВСТАВЛЕНИИ флешки, нажимаеш - варианты действий. И конечно никаких авторанов.
Да сдалась вам эта бабушка.
Ну заполучит она вирус, ну сожрёт он её комп с потрохами. Ну и что? Решается это предпреждениями, а такой моделью использования, которая не подразумевает использование потенциально опасных ситуаций, например, полный запрет на использование внешних носителей, как у айПада. Вот эталонной пример потребительского устройства - весь контент идёт в устройство только через более-менее проверенный реп.
В кедах оно так и есть. Но суть то от этого не меняется. Все равно при нажатии кнопочки "открыть в файловом менеджере" тот же долфин начнет рисовать превьюшки. Причем тут авторан?
> В кедах оно так и есть. Но суть то от этого не
> меняется. Все равно при нажатии кнопочки "открыть в файловом менеджере" тот
> же долфин начнет рисовать превьюшки. Причем тут авторан?так о том и речь - что по-умолчанию криворукие ****** нарисовали ***** конфиги, а те кто ставит программы тоже ничего не смыслят (или не хотят - им же сказали что в линуксе всё ок, проблем нет).
Параноики могут отключить эскизы
Ну почему же "параноики".
параноики app-armor отключать не будут...
А для чего ты флешку тогда вставлял если не хочешь смотреть её содержимое?
>А для чего ты флешку тогда вставлял если не хочешь смотреть её содержимое?Чтобы скопировать и отправить по почте тому, кому её содержимое нужно. Или почистить на флешке место и записать С компьютера НА флешку.
Потрудитесь хотя бы прочесть новость. Авторан далеко не главная проблема, ибо требует подтверждения...
Это не проблема. Это детские болезни ОС у которой только начинается дорога на десктопы.И данная проблема это головняк гнома и каноникла. И главное лёгким телодвижением можно исправить ситуацию, или как минимум отрубить авторан.
Причём тут Гном и Каноникл? Написано же - в спецификации freedesktop, а значит должно быть кросс-десктопно...
> в спецификации freedesktop, а значит должно быть кросс-десктопно...люди.. вы вообще можете отличить "статью спецификации" от "статьи закона" ???
разжовываю: ..."спецификацуия" (freedesktop, или любая другая) -- *не*принуждает* к чему-либо, а просто говорит о том что "если вы в своей операционной систему вдруг захотели сделать Авторан, то пожалуйста используейте именно <такието-такието> имена файлов, с <такимто-такимто> поведением"
указано это в спецификации -- лишь для того чтобы небыло всякой кучи различных: "autostart", "auto_run", "insert_event.bash", "<...и..причих..извращений...>"
никакая freedesktop-бумажка не заставит разработчика дистрибутива включить Авторан, если разработчик-дистрибутива не желает включать Авторан :-)
Не спорю, всё правильно, но что мне даёт информация о том что разработчик может не включить эту функцию по умолчанию? А вот информация о том, что он может её включить заставляет меня проверять, а включена ли она? Выяснять, как в конкретном дистрибутиве/DE проверить это и как отключить.
> Причём тут Гном и Каноникл? Написано же - в спецификации freedesktop, а
> значит должно быть кросс-десктопно...Потому что в нормальных дистрибутивах оно отключено. В отличаи от бубунту
Да!? В генту с гномом у меня, как не странно, тоже автоматом монтируется флешка и вылетает окно с выбором действий.
> Да!? В генту с гномом у меня, как не странно, тоже автоматом
> монтируется флешка и вылетает окно с выбором действий.Лол. А у меня на freebsd@kde окно с выбором действий появляется после вставления флешки ДО его монтирования. Вот это тру. Поменьше автоматики, побольше мозгов. Автоматика вон в редмонде пишется, видали её?
> Лол. А у меня на freebsd@kde окно с выбором действий появляется после
> вставления флешки ДО его монтирования. Вот это тру. Поменьше автоматики, побольше
> мозгов. Автоматика вон в редмонде пишется, видали её?И в чем принципиальная разница? Ну выберет юзер в этом окне 'Browse' ну запустится тот же самый конкверор с тем же самым libpng ну пробъется он и сядет зараза. Какая разница?
> И в чем принципиальная разница? Ну выберет юзер в этом окне 'Browse'
> ну запустится тот же самый конкверор с тем же самым libpng
> ну пробъется он и сядет зараза. Какая разница?how about NO?
Не запустится. Всякая автоматическая обработка содержимого не включена по умолчанию. Ничего, кроме показа списка файлов не будет. Ну, если найти какую то уязвимость в алгоритме рассчёта обьёма файла (а это единственные подробности)... Да, может какой то быть и косяк.
> Не запустится. Всякая автоматическая обработка содержимого не включена по умолчанию. Ничего, кроме показа списка файлов не будет. Ну, если найти какую то уязвимость в алгоритме рассчёта обьёма файла (а это единственные подробности)... Да, может какой то быть и косяк.Юзер вставил флешку. Вопрос - зачем? Наверное, он хочет что-то с ней сделать, правда? Иначе нафига её просто так вставлять? Видимо таки хочет. И что он будет делать после того, как вставил флешку? Правильно - скорее всего, запустит тот или иной проводник или как там его зовут, принятый в данном DE. Гномовский или кде-шный - не суть важно. И если этот прости господи проводник вдруг начнет самовольно обрабатывать данные с флешки (а генерация превьюшек - это то самое) то он естественным образом попадает в группу риска. Причем могут пробивать не какой то конкретный софт, скажем, конквероро, но и все другие компоненты, которые он задействует в процессе своей активности. Те же libpng/tiff. О чем собственно и 'новость'.
А нажмет юзер кнопочку NO или не нажмет или сделает ещё что-то - это уже не принципиально. Зло лежит не в отсутствии или наличии подтверждения/выбора от юзера. Зло лежит в багах, которые можно эксплуатировать практически прозрачным для юзера способом в силу чрезмерной и паразитной активности некоторых приложений.
Естественно, что это все можно делать и другими путями. Флешка тут лишь как вариант. Но, опять же, если юзер имеет права записи на флешку (а он их скорее всего имеет) то не сложно организовать паровозик, который будет самостоятельно распространяться за пределы инфицированной машины записывая себя на все подряд сменные носители без разбору (на какие сможет). Ничего не напоминает? Правильно, это мы уже все где-то видели и не раз..
Вот в частности поэтому есть ооочень много народу (и тут тоже) которые против повальной популяризации линукса. Оно не для широких масс, понимаете ли. Ну не должно быть такого сценария на линуксе "программа задала вопрос-пользователь не думая кликнул ДА" - такого быть идеологически не должно, в первую очередь из за недопущения в систему таких людей. Не нужна линуксу реклама, не нужна ему популярность в массах. Это должен быть инструмент для профессионалов, до которых я ещё и сам не дорос возможно.
> Вот в частности поэтому есть ооочень много народу (и тут тоже) которые против повальной популяризации линукса. Оно не для широких масс, понимаете ли. Ну не должно быть такого сценария на линуксе "программа задала вопрос-пользователь не думая кликнул ДА" - такого быть идеологически не должно, в первую очередь из за недопущения в систему таких людей. Не нужна линуксу реклама, не нужна ему популярность в массах.Вообще то все эти оооочень много народу как бы мало кто спрашивает. По крайней мере те, кто реально занимается разработкой и продвижением тех или иных дистрибутивов в массовом секторе. И абсолютно правильно кстати делают. Роль, вес и ценность этих 'оооочень многа народу' которых оооочень многа но почему то не в гите или багтреке но преимущественно на форумах и кухнях для ляля - ровно ноль. Ибо как с козла с них молока реальной пользы по любым выбранным направлениям.
> Это должен быть инструмент для профессионалов, до которых я ещё и сам не дорос возможно.
Судя по тому, с каким предыханием сэр произносит это священное 'профессионал'... Да, есть по всей видимости куда двигаться. Что впрочем хорошо - движение всегда суть полезно.
> Вообще то все эти оооочень много народу как бы мало кто спрашивает.
> По крайней мере те, кто реально занимается разработкой и продвижением тех
> или иных дистрибутивов в массовом секторе. И абсолютно правильно кстати делают.
> Роль, вес и ценность этих 'оооочень многа народу' которых оооочень многа
> но почему то не в гите или багтреке но преимущественно на
> форумах и кухнях для ляля - ровно ноль. Ибо как с
> козла с них молока реальной пользы по любым выбранным направлениям.Широкая аудитория нужна, для того чтобы в госучреждениях начали юзать таки линуксы, чтобы файнридеры и баттлфилды3 имело коммерческий смысл писать под линуксы, а то сидим и мудим с виртуалками, дуалбутами, вайнами и прочими реактосами, ну признайте же.. Оно не всем надо, не все играются, не всем корелдров нужен, но я не вижу проблем с массовостью линукса, те же профи могут отключить превью и прочие автоматизации, уверен появятся дополнительные фишки в харденедгенту и апарморах, да хоть целые дистры специально для профи от профи, у массового потребителя всегда всё должно быть проще, красивше, но и менее безопасней, нету универсальной таблетки или кнопки "сделай всё хорошо для всех при всём"
> Не нужна линуксу реклама, не нужна ему популярность в массах.lol, я только сейчас догадался. Коля, Прянишников, ты?
>> Не нужна линуксу реклама, не нужна ему популярность в массах.
> lol, я только сейчас догадался. Коля, Прянишников, ты?Но она действительно не нужна.
Вы берётесь за проблему не с того конца. Вместо того, чтобы обучать пользователей компьютерной безопасности, вы стараетесь ограничить доступ к системе, предоставив возможность пользоваться ей группе элитариев.А пользователя в изучении компьютерной безопасности заинтересовать легко. Как только он замучается терять курсовые в день сдачи или платить деньги за лечение вирусов, так он сразу захочет узнать почему это происходит и как быть осторожнее.
Причем еще могут просто подойти к твоему компу, заблокированному даже и просто вставить флешку с картинкой или пдфкой такой специальной. Флешка по-умолчанию откроется, превьюшка создастся и вуаля -- комп уже не совсем только твой. Так что создание эскизов -- на хрен отключить, да и автомаунт тоже надо отключить.
вообще-то если к машине есть физический доступ чужих, то о секурности обычно говорить просто смешно.
ну например в офис. а можно еще винт шифровать, можно даже шифровать раздел /boot. а если совсем страдать паранойей то и могут и подойти к домашнему, включить его и вставить флешку. так что обключить автомаунт и создание эскизов, а то и полное шифрование на заблокированном компе не поможет.
> ну например в офис.зачем на офисной машине хранятся важные данные? это раз. зачем к офисной машине имеет доступ кто не попадя? это два. зачем не ведутся логи и нет разграничения прав? это три. и так далее.
> а если совсем страдать паранойей то и могут и
> подойти к домашнему, включить его и вставить флешку.ну, вот у меня подойдут. вставят. приду я, экспроприирую флэшину в фонд африканских детей и выгоню нафиг. что дальше?
подойдут и вставят например флешку в твое отсутствие и экспроприировать не очень то и удастся...
> подойдут и вставят например флешку в твое отсутствие и экспроприировать не очень
> то и удастся…очень интересно на это посмотреть. если не считать форс-мажоров типа незаконного проникновения в жилище — то как? а если уж незаконно проникли — то скорее весь комп унесут, а не флэшины пихать будут.
ну например преследование инакомыслия, подозрения что ты связан с преступной деятельностью и т.п. Комп им твой на хрен тогда не нужен будет а вот инфа и доступ к компу даж очень
> и т.п. Комп им твой на хрен тогда не нужен будет
> а вот инфа и доступ к компу даж оченьты действительно думаешь, что я не замечу проникновения? алсо, для получения нужной информации есть более другие методы, и рисковать спалиться на прямом взломе — это годно только для фильмов-боевичков.
>> подойдут и вставят например флешку в твое отсутствие и экспроприировать не очень
>> то и удастся…
> очень интересно на это посмотреть. если не считать форс-мажоров типа незаконного проникновения
> в жилище — то как? а если уж незаконно проникли —
> то скорее весь комп унесут, а не флэшины пихать будут.Да в том-то и дело, что разбирать компьютер долго и подозрительно для окружающих. Унести комп из офиса мимо охраны тоже сложно. А вот флешку вставить можно очень просто и быстро - ни у кого подозрения возникнуть не успеют.
Меня тоже задолбали эти автомаунты и превьюшки. Кому нужны превьюшки на флешке (сненном носителе)? убил бы. Долфин тоже этой гадости научили по дефолту. а потом флеху размонтировать быстро не получается, ибо он ещё не успел 100мб ПДФ-ник обработать для превью. Ну поставте пустой бокс для извращенцев виндузников, захотят - узнают где ткнуть/включить. А нормальным ребятам эти жучки-скрепки из МС-Офис не нужны.
Ну не хотят учиться на ошибках конкурентов совершенно.
>> И в чем принципиальная разница? Ну выберет юзер в этом окне 'Browse'
>> ну запустится тот же самый конкверор с тем же самым libpng
>> ну пробъется он и сядет зараза. Какая разница?
> how about NO?
> Не запустится. Всякая автоматическая обработка содержимого не включена по умолчанию. Ничего,
> кроме показа списка файлов не будет. Ну, если найти какую то
> уязвимость в алгоритме рассчёта обьёма файла (а это единственные подробности)... Да,
> может какой то быть и косяк.А мне нравятся превьюхи...
В КДЕ4 можно отключить автомонтирование и ДЕ будет только сообщать что появился новый носитель, но отмонтированный.
> В КДЕ4 можно отключить автомонтирование и ДЕ будет только сообщать что появился
> новый носитель, но отмонтированный.Да что ж ты фуцк.... Его надо ВКЛЮЧИТЬ! Оно выключено. Ничего не монтируется само, ничего! Надо включать. В том то и прелесть. Мне, как собирающему кеды из оригинальных сорцов, а не ставящему из непонятно кем собранных бинарников, видней.
> Мне, как собирающему кеды из оригинальных сорцов, а не ставящему из непонятно
> кем собранных бинарников, видней.Вас как юзеру маргинальной платформы скорее и уместно считать непонятно кем, простите.
PS: если что, я неплохо знаю человека, сборками KDE которого пользуюсь.
А какой тебе толк от непримонтированной флешки?
> А какой тебе толк от непримонтированной флешки?Ещё раз повторяю, для особо одарённых. Возникает событие "Вставлена флешка usb" - появляется меню с пунктом "монтировать и открыть в файловом менеджере". Что не ясно? Автомонтирования не происходит. Кроме того, меню само исчезнет через пару секунд. Даже если ты выбрал монтировать и открыть-ничего кроме списка файлов ты не получишь - никаких индексаций и создания миниатюр, ничего этого нет, только если ты сам нажмёшь кнопку "показывать миниатюры". Автозапуска нет вообще в природе в принципе. Надо - запускай сам. Бабушка? - На винду.
1. Какая разница — примонтируется оно автоматом или по запросу пользователя? Разве что первое удобней в данном случае.
2. Какая разница, будут построены миниатюры с файлов на флэшке или с тех же самых файлов, скопированных на винт?
3. Отказ от миниатюр для очень многих людей приемлимым не является — попробуйте поработать с графикой без них.
>> А какой тебе толк от непримонтированной флешки?
> Ещё раз повторяю, для особо одарённых. Возникает событие "Вставлена флешка usb" -
> появляется меню с пунктом "монтировать и открыть в файловом менеджере". Что
> не ясно? Автомонтирования не происходит. Кроме того, меню само исчезнет через
> пару секунд. Даже если ты выбрал монтировать и открыть-ничего кроме списка
> файлов ты не получишь - никаких индексаций и создания миниатюр, ничего
> этого нет, только если ты сам нажмёшь кнопку "показывать миниатюры". Автозапуска
> нет вообще в природе в принципе. Надо - запускай сам. Бабушка?
> - На винду.Ну, допустим, примотировал ты удовлетворительно сам, вручную. Каким образом тебя это спасет от уязвимостей в файловой системе и юсб-драйверах? Не будеш ни програм запускать и ни на флешку смотреть?
Сам примонтировал только то что захотел, а не то что захотели другие в твое например отсутствие -- это раз. Открыл на чужой или своей флешке, побывавше на чужом компе только то, что сам захотел, а не все картинки и пдфки открылись для построения эскизов -- это два.
А так конечно, уязвимости есть везде, ну так линукс вроде у нас сам обновляется, вернее не только само ядро и но и все программы и библиотеки.
>> А какой тебе толк от непримонтированной флешки?
> Ещё раз повторяю, для особо одарённых. Возникает событие "Вставлена флешка usb" -
> появляется меню с пунктом "монтировать и открыть в файловом менеджере". Что
> не ясно? Автомонтирования не происходит. Кроме того, меню само исчезнет через
> пару секунд. Даже если ты выбрал монтировать и открыть-ничего кроме списка
> файлов ты не получишь - никаких индексаций и создания миниатюр, ничего
> этого нет, только если ты сам нажмёшь кнопку "показывать миниатюры". Автозапуска
> нет вообще в природе в принципе. Надо - запускай сам. Бабушка?
> - На винду.Хоспади, зачем вам ДЕ если у вас не юзаются плюшки? bash - вот это ваш вариант. Мой, например, DE с плюхами, превьюхами, живой поиск, и прочие свистелки, это удобно! Просто нужно настроить apparmor.
> А какой тебе толк от непримонтированной флешки?Какое-то неправильное у вас обсуждение. Вместо того чтобы исправлять ошибки в системе - начинаются рассуждения типа не надо делать то-то или то-то или оставить систему для профессионалов. Поймите - это ни к чему не приведет - эксплойт все равно появится!!! И профессионалы влетят по самое "немогу". Не надо истерик - чем больше пользователей у системы, тем быстрее она совершенствуется.
> тем быстрее она совершенствуется.Откуда вы это взяли? И близко не соответствует действительности.
Что вы понимаете под "ошибкой в системе"? Есть некая функциональность, реализация которой порождает потенциальную угрозу. Это тот объективный факт. Дальнейшие действия определяет только толерантность потребительской аудитории к риску реализации угрозы.
Линукс на потребительские устройства раздаётся бесплатно не для того, чтоб всем было тепло, уютно и безопасно, а для решения определённых задач вендоров. И некая абстрактная безопасность не входит в перечень приоритетных. Просто потому, что ценность этой пользовательской безопасности не определена, а следовательно равна нулю.
А профессиональному пользователю все эти прыжки и ужимки не нужны.
>> тем быстрее она совершенствуется.
> Откуда вы это взяли? И близко не соответствует действительности.
> Что вы понимаете под "ошибкой в системе"? Есть некая функциональность, реализация которой
> порождает потенциальную угрозу. Это тот объективный факт. Дальнейшие действия определяет
> только толерантность потребительской аудитории к риску реализации угрозы.
> Линукс на потребительские устройства раздаётся бесплатно не для того, чтоб всем было
> тепло, уютно и безопасно, а для решения определённых задач вендоров. И
> некая абстрактная безопасность не входит в перечень приоритетных. Просто потому, что
> ценность этой пользовательской безопасности не определена, а следовательно равна нулю.
> А профессиональному пользователю все эти прыжки и ужимки не нужны.Вот здесь, по моему мнению, Вы ошибаетесь. Профессиональный пользователь тоже не робот. И если есть уязвимости в некоторых компонентах, то и он получит ее. Рано или поздно. Это просто вопрос времени. А большое количество пользователей системы позволяет находить эти уязвимости быстрее(толерантность большей аудитории априори ниже).
Но, понимаете, тогда получается, что всё статья сводиться к совершенной демагогии, вроде "плохо написанные приложения это плохо, давайте будем писать приложения хорошо". Ясно, что ошибки в приложениях не есть хорошо. Но, к примеру, для меня описанные выше проблемы совершенно не актуальны. На мой взгляд, есть куда более важные именно для сообществ проблемы. А коммерческие вендоры производных Линукса пусть на здоровье пилят для своих потребителей то, за что эти потребители готовы заплатить. Не думаю, что массовый пользователь коммерческих Линуксов (скажем, того же Адроида) так уж озабочен описанными выше проблемами "безопасности".
>(толерантность большей аудитории априори ниже).Тут я с вами не соглашусь. Я считаю, как раз наоборот.
а эскизы тож автоматом создаются при монтировании и открывании флешки?
>> Причём тут Гном и Каноникл? Написано же - в спецификации freedesktop, а
>> значит должно быть кросс-десктопно...
> Потому что в нормальных дистрибутивах оно отключено. В отличаи от бубунтупримеры таких дистрибутивов (современных) в студию!
> Я думал, что этот идиотизм с autorun.ini есть только в офтопикеПервый раз увидел в 95-м и не считал идиотизмом. Запуск программы с компакт-диска не являлся чем-то плохим: перезаписываемых не было. Те кто делал компакт-диски вирусов в autorun не прописывали. А уже когда кто-то узнал, что при подключении flash-дисков тоже можно выполнить autorun, начались проблемы. Майкрософту следовало бы при написании драйвера для Flash-дисков запретить это, как например запретили корзину и второй раздел, да вот не подумали.
Ещё как записывали. Я как-то приобрёл диск "100 игр на одном СД", так там все досовские игры были в самораспаковывающихся архивах заражённых вирусами (причём было несколько типов), и оболочка, запускающаяся в авторане, тоже была заражена.
У меня тоже был такой диск. Набор программ для Windows. В установщике драйвера для процессора AMD - вирус. Те кто прожигали наверно и сами не знали, а в твоём случае даже ни разу на вирусы не проверили перед записью. Хорошо что появился Dr. Web с проверкой "на ходу". Теперь Майкрософт сделала такую проверку обязательной для безопасной работы.
Кто о чём, а Zenitur о процессорных драйверах.
> Первый раз увидел в 95-м и не считал идиотизмом. Запуск программы с
> компакт-диска не являлся чем-то плохим: перезаписываемых не было.Это не мешало пиратам несколько раз эпично облажаться записав диск с вирусом. Вылядит круто: воткнул диск - дыщ - у тебя уже вирь. И в инсталяхах были вирусы. Поставил варезок? На вот тебе вирус как бонус :)
> Те кто делал компакт-диски вирусов в autorun не прописывали.
Некоторые клоуны умудрялись прописать завирусованные ехешники и в автораны и в сетапы. На одном диске в сетапе попался аж CIH, правда неактивный - полувычищенный антивирусом. Но в целом культура производства у варезников зачастую низкая или отсутствующая (таких уродов даже не жалко когда их копирасы размачивают).
> А уже когда кто-то узнал, что при подключении flash-дисков тоже можно выполнить autorun,
Для начала, появились записываемые компакт-диски. Создаваемые юзерами. И кто по приколу, а кто по недосмотру мог записать на диск какую-то срань. В общем автозапуск чего либо откуда либо - это самострел, нацеленный на пятку. Предохранитель должен быть, как в пистолетах.
> начались проблемы. Майкрософту следовало бы при написании драйвера
> для Flash-дисков запретить это, как например запретили корзину
> и второй раздел, да вот не подумали.Они много чего еще не подумали. Скажем зачем-то гоняют пачку сервисов с правами SYSTEM. А что, мене ссыкотные права процессам раздать - не вариант? Или это чтобы если уж поимеют -то наверняка? oO
1. Проверь качество своего дистра с помощью paxtest:
http://mirror.yandex.ru/gentoo-distfiles/distfiles/paxtest-0...2. Установи и используй правильный дистр:
http://www.gentoo.org/proj/en/hardened/
да, время потраченное на нескучные обои даёт о себе знать (((
Вы как-то криво прочитали. Как раз авторан тут сделан по человечески и кстати довольно давно. Лет так более семи. Вот всё остальное в теории может быть проблемой.
а что в никсах такое присутствует на каком нибудь дистре? Я такого не встречал пока.
> а что в никсах такое присутствует на каком нибудь дистре? Я такого не встречал пока.Пардон, а что, гнум или кде скажем на BSD или Сорялке - они какие-то совсем другие, нежели в Linux? Точно так же запустят кучу Г для превью и ещё бог знает чего.
Пля, вы до конца когда читать будете?!> В конце выступления была продемонстрирована работающая техника
> организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10.
FessAectan выше пишет на gentoo c гномом все тоже самое
А зачем собственно эскизы на съёмных носителях? И к тому же права на выполнение с них же..
> А зачем собственно эскизы на съёмных носителях? И к тому же права
> на выполнение с них же..Эскизы созраняются в домашнем каталоге пользователя - "thumbs.db" нет. Права на выполнение не даются. Просто иногда в библиотеках графики находят уязвимость, которую можно эксплуатировать путём скармливания ей специально подготовленного изображения. И выполнить произвольных код от имени пользователя. И если библиотеки изображения почти никогда не радуют такими подарками, ими радуют, например, библиотеки PDF. А эскизы их (с небольшими файлами) у меня даже KDE 3 делает.
>> А зачем собственно эскизы на съёмных носителях? И к тому же права
>> на выполнение с них же..
> Эскизы созраняются в домашнем каталоге пользователя - "thumbs.db" нет. Права на выполнение
> не даются. Просто иногда в библиотеках графики находят уязвимость, которую можно
> эксплуатировать путём скармливания ей специально подготовленного изображения. И выполнить
> произвольных код от имени пользователя. И если библиотеки изображения почти никогда
> не радуют такими подарками, ими радуют, например, библиотеки PDF. А эскизы
> их (с небольшими файлами) у меня даже KDE 3 делает.Чё сказал...
Чувачок про EXEC и откуда thumbs.db на флешках спрашивал. :)
1. Тумбз.дб - из Венды
2. EXEC - на ФАТе по умолчанию.
Здравствуй здравствуй.
Не могу похвастаться регулярным чтением новостей про самую десктопную ОС, но там про дыры в системе обычно узнают с обратной стороны - после того как сквозь них по эшелону насекомых пролезет.
Тут пляшут от обратного. Даже антивирусы раньше массовых вирусов появились ))))
P.S. Поэтому смотрю в будущее с оптимизмом.
>через организацию автоматического выполнения кода после вставки USB-накопителяа если ещё оно будет просить пароль рута, то делов может наделать..
>была найдена 2 недели назад, уязвимость в libtiff была исправлена прошлым летом, последняя уязвимость в FreeFont была исправлена в ноябре.
Итог: чаще обновляйтесь.
>в Ubuntu автоматически запускается файловый менеджер GNOME Nautilus, который сразу начинает процесс построения эскизов для присутствующих на подключенном накопителей PDF-файлов, шрифтов, изображений и видео-роликов
возможно, ступлю, но нельзя ли сделать доступ к подобным программам или библиотекам только для папки, в которой в данный момент они строят эскизы или индексируют файлы и папке с базой эскизов (если не является ей же)?
Наверное нет. Эскизы ведь делает сам Konqueror/Nautilus с помощью библиотек exiv и libxxx.
> Наверное нет. Эскизы ведь делает сам Konqueror/Nautilus с помощью библиотек exiv и
> libxxx.у меня в дельфине эскизы по-умолчанию отключены, но надо узнать на счет gwenview.
т.е. проще всего подделать PDF, но это мало связано с USB
Кстати, да.
Если на флешке принесена картинка или документ, то, скорее всего, человек таки откроет этот файл и сам.
Аналогично можно назвать это уязвимостью FTP - тоже в Наутилусе можно подключить как диск, открыть...Насчет USB - только авторан, уже грамотно заткнутый, и подделка файловой системы.
Но я как представил себе, как вирус исподтишка меняет на флешке файловую систему...
"Я думаю так - подкрадываемся к части, снимаем часовых и незаметно выступаем! А с воздуха нас поддерживают чайки..."
> Если на флешке принесена картинка или документ, то, скорее всего, человек таки откроет этот файл и сам.Совершенно не факт. Это может быть совсем левая флещка в совсем левом месте. Пришел я в минет-кафешку фотку распечатать. Одну. Хотя барахла у меня там - вагон с тележкой. И все как водится лежат в корне. И уже походу совсем не все из них - мои. Запросто..
> Аналогично можно назвать это уязвимостью FTP - тоже в Наутилусе можно подключить как диск, открыть...
Или дискету или сетевой диск или <you name>. Все, что угодно. Что позволит подпихнуть нужному глюкодрому нужные данные. Конкретная несущая не суть важна.
> Насчет USB - только авторан, уже грамотно заткнутый, и подделка файловой системы. Но я как представил себе, как вирус исподтишка меняет на флешке файловую систему... "Я думаю так - подкрадываемся к части, снимаем часовых и незаметно выступаем! А с воздуха нас поддерживают чайки..."
Загрузочная вирусня в винде - далеко не экзотика. Скорее, проза жизни.
Вы предпочитаете натягивать на Линукс антивирус, потому что вам лень навести порядок на собственной флешке? Может, с Винды не стоило слезать?
> Вы предпочитаете натягивать на Линукс антивирус, потому что вам лень навести порядок на собственной флешке? Может, с Винды не стоило слезать?Начнем с простого: антивирусы на линуксе не помогут. Точно так же, как они очень мало помогают на винде. От силы - отсеют самые тупые экземпляры и только. Надежда на антивирусы на линуксе обоснована ни чуть не более, чем на винде.
Порядок же на флешке - жаль, что сегодня в ПТУ не дают даже азы статистики. Иначе чуть-чуть пораскинув мозгами можно было бы прийти к нехитрому выводу, что и такое требование для среднестатистического юзера не прокатит. Вне зависимости от того, какую систему он использует в текущий момент времени.
> они очень мало помогают на виндеТолько сегодня ткнул юзершу носом в CureIT, поскольку рабочий Каспер вычистил с ее флешки десяток троянов. Конечно, совершенно не помогают...
> чуть-чуть пораскинув мозгами можно было бы прийти к нехитрому выводу
Лень знает тысячи оправданий. Я говорил о вас, а вы почему-то предпочитаете пораскидывать мозгами про среднестатистического юзера.
Моя статистика, кстати, показывает, что пользователи все-таки предпочитают создавать папки, а не заваливать корень флешки файлами. Правда, мои юзеры через одного получают второе высшее, а как там принято в среде ПТУ-шников - вам, конечно, виднее.
Проблема не в том.
Проблема в том, что "некоторые товарищи" копируют юсабилити функции "ас ис" с мелковязых, не удосуживаясь придумать более оптимальный вариант. Те же, кто может сие придумать, занимаются более серъезными делами и более концептуальными подходами...
Ну даже "на вскидку" ... что, тяжело сделать чтоб флэшка подмонтировалась в свою, полностью изолированую виртуальную систему -- вариантов тут куча! --??? ..просто... а кому это нада? "спасение утопающих -- дело рук самих утопающих!"
Хотите сделать юзверей счастливыми?
Сделайте монтирование флешки прямиком на гугль-докс - и пускай гугль морочит себе с ними голову!
ну а что дала проведённая атака-то?
доступ какой-то? или просто "провелась" себе?
> ну а что дала проведённая атака-то? доступ какой-то? или просто "провелась" себе?Ну если атака позволила запустить на машине код злоумышленника то этого уже более чем достаточно.
Продемонстрировали разблокирование скринсейвера без пароля, подобие kill -9 `pidof xscreensaver`Похожая дыра была в гноме, год или два назад - когда долго жмёшь на Enter, а он сам разблокировался.:)
это типа "ладно, разблокирую, уломали"
> ну а что дала проведённая атака-то?
> доступ какой-то? или просто "провелась" себе?Дык - не было атаки! Загаловок -- так, лишь для ньюсмейкеров.
Крайне не корректный заголовок!!!
В чем же новость? ...найдена уязвимость. И ТОЧКА.
Причем уязвимость не линукса. Уязвимость "системы, построненной на спецификации freedesktop".
Вывод --- необходимо доработать спецификацию. Снова ТОЧКА.
несколько напрягает эта автоматизация создания превьюшек.Пока не стали прикручивать свистелки-перделки к убунте - была вполне хорошая система, теперь же уязвимости плодятся.
если раньше линуксы были по умолчанию безопасны - теперь пришли к ситуации с виндой, где надо вырубать кучу дыр, перед серьезной работой
Специально сейчас воткнул флешку. Никаких эскизов.
Почему? Потому что в настройках Наутилуса стоит "View new folders using: Compact view".Для сравнения - попробуйте добиться от Проводника, чтобы при двойном щелчке по иконке флешки в папке "Мой компьютер" не запускался авторан...
О да-а-а…
http://support.microsoft.com/kb/967715Главное оцените гениальность фразы почти в самом начале:
Depending on the version of Windows that you are using, there are different updates that you must have installed to correctly disable the Autorun functionality:Круто, не правда ли? Нет, обновления конечно же ставить в любом случае нужно, система в которой авторан зашили так глубоко, что его нельзя выключить без обновлений безопасности…
Ну а одной команды для консоли я там так и не нашёл. Разве что ты в одну строку запхнёшь вызов регедита и передачу ему нужных команд, но этой командой можно дьявола случайно вызвать будет если ошибиться хоть на одну букву при её прочтении. А работать она вероятнее всего будет только в павершелле.
чаще всего эта функциональность(запрет авторана.ини) есть в антивирусном ПО(относительно винды), но уже выробатался рефлекс работать через WIN+E и дальше щелкать по плюсикам(в отсутсвие TC/FAR)
*выработался.
я буду проверять сообщение, перед отправкой(повторить 5 раз)
Да, но авторан в ХР срабатывает сразу при вставке флэшки. Тут хоть с тоталом и фаром подходи, а он всё едино запустится. В Висте и семёрке система хоть спрашивает нужно ли его запустить… правда разве рядовые пользователи читают то, что их спрашивает система? Исключительно только наученные горьким опытом. Причём исключительно собственным.
>>Да, но авторан в ХР срабатывает сразу при вставке флэшки. Тут хоть с тоталом и фаром подходи, а он всё едино запустится.Только если не держать нажатым шифт, пока не распознается флешка. А можно вообще радикально службу "Определение оборудования оболочки" отключить и ничто автораном не будет запускаться)))
> чаще всего эта функциональность(запрет авторана.ини) есть в антивирусном ПО(относительно
> винды), но уже выробатался рефлекс работать через WIN+E и дальше щелкать
> по плюсикам(в отсутсвие TC/FAR)Надо на Shift нажимать вообще-то чтобы autorun не сработал. Я это ещё на 95-м виндовсе делал. Что касается Flash-дисков с ним - не пробовал.
Джентльмены, вы говорите правильные вещи, но не о том.
Как самому не запустить авторан - я и так прекрасно знаю.
А вот как не дать ЮЗЕРАМ его запустить...
Естественно, автозапуск с флешек отключен. Одной строкой.
Но двойной клик по иконке в "Моем Компьютере" ВСЕ РАВНО запускает авторан!
{далее непечатно}
Собственно, решение есть - отключить исполнение программ с любых носителей, кроме жестких дисков. Но раздражает сам факт того, насколько все это дебильно сделано.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf]
@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
... и строка эта начинается с regedit :)Хотя для поддлельных линков и эскизов надо действовать иначе, но начало тоже :)
На, почитай на досуге
http://some-wise-man.livejournal.com/102517.html
Не забывайте, что сам Линус и его команда остались. USB flash может покарать только пользователя, но никак не всю систему. (не считая страшного бага с хитрым типом ФС)
Иными словами всегда можно "переустановить" систему коммандой из под рута:
rm -Rf ~/Правда отсаётся куча проблем с sudo подобными программами.... которые могут получить доступ к самой системе.....
> USB flash может
> покарать только пользователя, но никак не всю систему. (не считая страшного
> бага с хитрым типом ФС)
> ...а как раз системные-то файлы нафиг и не нужны... самое секретное сокровещще всегда лажет в ~/Documents/ и ~/work/ :-)
Убунтовское графическое sudo (gksu) спрашивает пароль, по-моему, только первый раз, а последующие ставит перед фактом, что включены повышенные привилегии, причем это уведомление потом можно отключить. Прямо-таки просится для использования в авторане. Да даже если оно запросит пароль, неужели 95%-юзер не введет?
> Убунтовское графическое sudo (gksu) спрашивает пароль, по-моему, только первый раз, а последующие
> ставит перед фактом, что включены повышенные привилегии, причем это уведомление потом
> можно отключить. Прямо-таки просится для использования в авторане. Да даже если
> оно запросит пароль, неужели 95%-юзер не введет?Поведение настраивается. Нет никакой сложности сделать так, что будет запрашивать пароль всегда.
пароль только временно кешируется вроде
> несколько напрягает эта автоматизация создания превьюшек.Даже на ред хате 10-летней давности у меня это было, правда с файлами размером до мегабайта. А убунты тогда не было.
до 6-й убунты полноценных десктоп версий линукса можно сказать не было.посему проблемы иксов не волновали ну соовсем.
> до 6-й убунты полноценных десктоп версий линукса можно сказать не было.посему проблемы иксов не волновали ну соовсем.s/6/12
> до 6-й убунты полноценных десктоп версий линукса можно
> сказать не было.посему проблемы иксов не волновали ну соовсем.Я, A1ek, вступая в ряды Всесоюзной Пионерской Организации имени Владимира Ильича Ленина, перед лицом своих товарищей торжественно обещаю: горячо любить свою Родину. Жить, учиться и бороться, как завещал великий Ленин, как учит Коммунистическая партия. Всегда выполнять Законы пионеров Советского Союза.
До 6-й убунты десктоп версий линукса у него не было. Да, Linux-системы стали превосходить все остальные десктопы по совокупности качеств именно в 2006 году, до этого ещё были некоторые явные минусы, но это заслуга не 6й убунты. Тогда можно сказать, что это заслуга 4го дебиана, чей тестинг мало отличался от 6й убунты. Или это заслуга слаки 10.2. Или много чего ещё.Но и до этого десктопом на базе Linux можно было пользоваться, вполне успешно, и было вполне удобно. Не хватало только опыта, который был накоплен на пиратских виндусах, и отсутствовал на нормальных системах — привыкнув к плохому, нужно ещё сначала от него отвыкнуть...
> до 6-й убунты полноценных десктоп версий линукса можно сказать не было.посему проблемы
> иксов не волновали ну соовсем.Дааа, иксов до убунты просто не было, их Марк Шаттлворт написал вручную. Линуксоидом можно было стать только прочитав 8 толстых книг по программированию. Это каноникал добавил в опенофис поддержку форматов файлов MSO. А ред хат, новелл, дебиан и мандрива - неудачники, которые склонировали убунту, переименовали и свои обои поставили.
> если раньше линуксы были по умолчанию безопасны - теперь пришли к ситуации
> с виндой, где надо вырубать кучу дыр, перед серьезной работойЛинуксы НИКОГДА не были безопасны по умолчанию.
В Линуксе по умолчанию подразумевается, что владелец логина root -- знает что он делает.
А кому какие права он уже отдаст .. его страх и риск.
Вот то, что root -- человек знающий == это дейтсвительно было по умолчанию.
Но времена меняются.
как говорится -- ты не поверишь -- берем Fedora 14 с гномом и видим все тоже самое практически -- автомаунт, сама не открывает флешку, но когда ты откроешь ее, то превьюшки для pdf создаются, так что я думаю тут дело не в ubuntu...
Ставить федору правда не стал, c Live-CD в виртуалке загрузился, но я думаю что после инсталяции она себя также будет вести.
> тут дело не в ubuntuОна в новости для примера.
А вот какого хрена наутилус запустился и полез создавать эскизы, если активен скринсейвер?
> А вот какого хрена наутилус запустился и полез создавать эскизы, если активен
> скринсейвер?Потому что клоуны из freedesktop, GNOME, KDE, FSF любят получать медали за вклад в развитие...
А то, что они наложили (если не сказать навалили), разгребать должны все остальные.
Ибо ни хрена не планируют разработки, а только пихают новые фичи и как-то их потом пытаются склеить.
Ладно, одно дело впихнуть фичу в проект, так они дальше не хотят допиливать, так как уже скучно,
и за отладку Нобелевскую премию или "За вклад в развитие чего-нибудь" не дадут.
За отладку и стабилизацию не дают и откатов с патентов, а лишь на оборот с тебя возьмут.
GNU пишут творческие люди, им главное получить результат, что бы быстро, эффективно и тп. А уже RedHat подобные компании занимаються допиливанием этого добра до ентерпраз состояния :-DВообще стабильность стоит очень больших денег, так как нужно быть человеком творческим что бы изучать кучу теорию, нарабатывать большой опыт, после чего совсем не хочется заниматься отловом багов....
Люди же, которые пишут грамотно, как правило очень консервативные -- не бросаются изучать последние инновации до сих пор пользуются командами mount /mnt/flash что бы смонтировать себе флешку...Иными словами пользуйте OpenBSD если хотите быть "защинены" но мучайтесь c функиональностью, либо пользуйте Ubunta и находитесь под властью последних инноваций со всеми плюсами и минусами.
>[оверквотинг удален]
> А то, что они наложили (если не сказать навалили), разгребать должны все
> остальные.
> Ибо ни хрена не планируют разработки, а только пихают новые фичи и
> как-то их потом пытаются склеить.
> Ладно, одно дело впихнуть фичу в проект, так они дальше не хотят
> допиливать, так как уже скучно,
> и за отладку Нобелевскую премию или "За вклад в развитие чего-нибудь" не
> дадут.
> За отладку и стабилизацию не дают и откатов с патентов, а лишь
> на оборот с тебя возьмут.
> GNU пишут творческие люди, им главное получить результат, что бы быстро, эффективно
> и тп. А уже RedHat подобные компании занимаються допиливанием этого добра
> до ентерпраз состояния :-DЕсли следовать этой логике, то творческий потенциал Хурда где-то в районе нуля. Причем по Кельвину.
>> GNU пишут творческие люди, им главное получить результат, что бы быстро, эффективно
>> и тп. А уже RedHat подобные компании занимаються допиливанием этого добра
>> до ентерпраз состояния :-D
> Если следовать этой логике, то творческий потенциал Хурда где-то в районе нуля.
> Причем по Кельвину.Да не, всё правильно, люди делятся на идеологов и критиков, первые генерируют идеи,
причем своих косяков вообще не видят, а другие - только косяки и видят.
OpenSource сообщество это стадо идеологов, которое на критику в свою относиться враждебно,
пока как котёнка - мордой в какашку не ткнёшь. (см. заголовок новости).Наверно многие из присутствующих видели анонсы о том, что очередное сообщество
проводит день, неделю, субботник и т.д. борьбы с багами. Но кто-нибудь помнит
анонс о недели проектирования, скажем HAL или PolicyKit. Я тоже не помню!
Только не допиливания уже в коде, после выброса идеи, как AUTOGROUP SCHEDULER,
а именно схематизация, алгоритмизация,... перебор вариантов возможных событий,
исключений и т.д. Фигу!
Или вы считаете, что допиливание Нетскейпа до состояние Фаерфокса,
или тех же KDE/Gnome... за 20 лет это нормально?!
> проводит день, неделю, субботник и т.д. борьбы с багами. Но кто-нибудь помнит
> анонс о недели проектирования, скажем HAL или PolicyKit. Я тоже не помню!Анонс - дело нехитрое.
Я сказал, вы что там, обалдели
Уронили шахматный престиж
А мне сказали в нашем спортотделе
Ну вот прекрасно, ты и защитишь
а это уже так сказать какой нить хотплугд сработал.Мое лично: не люблю я этим все автоматизации, и автомоунты.
В Windows надо обновлять базы антивирусов. В Linux - версии библиотек.
И как ни крути второй вариант гораздо выгоднее. =)
> И как ни крути второй вариант гораздо выгоднее. =)Угу, одну багу уберут, другую добавят...
> Угу, одну багу уберут, другую добавят...Ну это в общем то справедливо для любого программного обеспечения. Вне зависимости от.
это несправедливо для антивирусной базы...
В антивирусных базах нет ошибок ? И совсем-совсем абсолютно нет новых ошибок в свежей только что обновленной базе ? Гениально! Пора писать Абсллютно Безглючную Ось на базе антивируснвх баз.
Ха, autorun и stuxnet для Linux :-) Пошёл читать английскую новость> Например, в Ubuntu
Ххха-ххха-хааа!
я вам вот что скажу:
в линукси всё-равно свобода есть - я свободен оставить систему с дырой или закрыть эту дыру
а в винде пока дядя балмер не разрешит - никаких заплатов!
балмер сказал сидеть с дырой - акнешлюхи сидят с дырой
есть аппаратные дыры куда опаснее, и существующие уже кучу лет.
http://www.techmantras.com/content/physically-hacks-windows-...
Similar Firewire hacks have been demonstrated on Linux and OS X as well.
> Similar Firewire hacksСпецифика 1394, увы.
Чудес не бывает. А использовать уязвимость библиотек можно везде, в любой ОС. И это не раз доказывали умельцы, эксплуатирующие огрехи в различных библиотеках и программах. Чисто физически человек не способен создать сложное ПО полностью не подверженное ошибкам. Слишком много потребуется времени, слишком много будет потрачено средств на вылизывание кода и его верификацию. А если вспомнить о том, что ошибки встречаются и в микрокоде CPU, и в BIOS и везде, где есть хоть какое-то программное обеспечение, написанное человеком. Одни баги исправляют, новые создают. Спросите любого программиста на C-подобном языке, и он признает что иногда случались у него ошибки в коде типа:
if(условие==значение){наш код}
Так и просится вместо двух == одно. И иногда случается такая опечатка. Это очень распространённый случай. А ведь есть и другие, гораздо более страшные ошибки. И очень часто поданные на вход какой-то функции/методу данные не верифицируют в надежде на то, что они и так верны, а верификация в сто раз сложней этой функции/метода, здорово снижает скорость работы нашей функции, да и до память очень жадна. В результате всех факторов:усталость, халатность, надежда что тысячу раз проверенный на разных наборах данных код отлично работает, и т.д. мы имеем много потенциальных дыр практически везде. И отследить ошибки в коде бывает нелегко. В том же примере с if присваивание при опечатке будет приводить к ошибке только при определённых условиях:если вызовут эту функцию, если другие проверки не закончатся выходом из функции и т.д. А если этих условий так много, что ошибочный код выполняется один раз на миллион, или реже? Его могут и не находить годами. Так что без паники, всё нормально. Так всегда было, есть и будет. Пока человек склонен ошибаться, во всяком случае.
1. Человек склонен совершать ошибки
2. Си подобные языки - большое зло. Способствующее появлению дырявого кода. И, что характерно, некрасивого, стимулурующего писать некрасиво. В плюсАх эта тенденция только усугубилась.
3. От ошибок такого рода как if (foo = bar) {} спасает -Wall -Werror. Хотя я понимаю.. да.. многие не приучены использовать эти опции и варнинги считают чем-то нормальным. Особенно в GNU/GPL мире(так.. наблюдение).
4. assert-ы тоже никто не отменял.
Я уж не знаю насколько надо быть упоротом дельфином чтобы допускать ошибку вида "if (foo = bar)" Я всего лишь раза два так ошибся, и то в первые месяца изучения Си.
ошибаются не на
if (a = b)
а на
if ((n_read = read (src_desc, buf, buf_size)) ? 0 : (r_read = read (src_desc, buf, buf_size)))....
только когда год в десять ярусов...
я бы за такое наказывал бы
> Я уж не знаю насколько надо быть упоротом дельфином чтобы допускать ошибку
> вида "if (foo = bar)" Я всего лишь раза два так
> ошибся, и то в первые месяца изучения Си.Это если не пишете на языках с другим синтаксисом. Достаточно с денёк скрипты на шелле пописать.
Довольно распространённая ошибка, кстати.
> Довольно распространённая ошибка, кстати.за почти десяток лет программирования на Си ни разу (ещё раз: ни разу) у меня такой ошибки не было.
но, конечно, для тех, кто по-русски пишет «превет», «што», «извените» — это да, актуально. потому что у них «на уровне рефлексов» не пропечатывается.
А я как раз недавно почти об этом писал статью на Хабре:
http://habrahabr.ru/blogs/linux/113143/
И про флешки с превьюшками там тоже есть.
Идея применять профиль защиты через специальный API, вместо простого добавления файла профиля в пакет - феерический бред, извините. Дальше читать не стал.
А как часто на типичной машинке с Windows XP обновляются libpng, libtiff, драйвера ФС и всякие потроха Windows и Internet Explorer-ов?
> В качестве примеров, рассмотрено несколько уязвимостей в USB-драйвере, которые можно эксплуатировать для выполнения своего кода, но для этого необходимо как минимум использование специальных программируемых USB-платспециальных программируемых USB-плат
Что видимо и было продемонстрировано. Об эпидемиях, подобных как в виндовс, в таком случае не может быть и речи. Чё все так напряглись - я не понял. :)
В этом и дело - уязвимость под виндой никого не удивляет, принимается как данность :)
автомаунт специально-измененной файловой системы (редко дырки находят) и эскизы pdf и картинок, видео и т.п. (дырки находят часто) -- вот что людей напрягает в данном случае
Только при программировании на Си можно захватьть контроль просто подсунув программе неправильные ДАННЫЕ.
А так же на любом другом языке. И человеческий мозг можно взломать - просто подсунув вместо чистой воды раствор с ядом.
> А так же на любом другом языке.Нет.
Я всегда говорил, что как только Linux начнет пробираться на декстопы, выяснится что в нем ошибок и глюков столько же сколько и в Windows, если не больше. :)
> Я всегда говорил, что как только Linux начнет пробираться на декстопы,
> выяснится что в нем ошибок и глюков столько же сколько и в Windows, если не больше. :)Ну а что ты хотел, всех юзеров удовлетворить и трипачок не подхватить. :)
>Я всегда говорил, что как только Linux начнет пробираться на декстопы, выяснится что в нем ошибок и глюков столько же сколько и в Windows, если не больше.Не-не, изначально их там гораздо меньше. Просто для того, чтобы завоевать десктоп, нужно подобрать подход к тем 95% пользователей, которые выбирают windows. Серьёзных преимуществ у винды в сравнении с linux нет, значит, нужно перенимать недостатки: неизящный, сложный, интуитивно непонятный интерфейс, изобилие ошибок и уязвимостей - очевидно, что винду любят именно за это (больше не за что).
Вот поэтому так важно выделить специальный форк linux for desktop - ubuntu - который и займется интеграцией свойств винды, а мейнстрим пойдёт своим linux-way (стабильность, надёжность, удобство, безопасность, и 1% рынка, потому что только одному юзеру из сотни это всё надо).
Ага. До ~2005 юзал winxp (desktop) + freebsd (server). Перейдя на линакс, был шокирован стабильностью работы и отсутствием регулярных зависаний и бсодов.
> одному юзеру из сотни это всё надо).Вот тут как раз большой вопрос!
То, что нужно юзеру из "офисного планктона" решает админ.
Получив "откат" за внедрение решения мелкомягких, админ им всем поставит 7-ку.
А мелкомягкие заплатят ньюсмейкерам за новости, на подобии этой.
И ньюсмэйкер напишет "Атака на линукс" -- вместо "найдена уязвимость".
Что делать? ...учить материальную часть!
> И ньюсмэйкер напишет "Атака на линукс" -- вместо "найдена уязвимость".Если уязвимости которые могут привести к запуску кода при вставке Flash регулярно находят каждые три месяца, то это уже никакая не частная уязвимость, а самый что ни есть практичный метод атаки.
> Если уязвимости которые могут привести к запуску кода при вставке Flash регулярно
> находят каждые три месяца, то это уже никакая не частная уязвимость,
> а самый что ни есть практичный метод атаки.более того: критическая уязвимость у GNU/Linux была, есть и будет ровно одна. называется «продвижение линукса на десктопы». как только эту уязвимость закроют — GNU/Linux магически станет во много раз секурней и надёжней.
начать можно с малого, например: прогнать разработчиков всяких DE куда-нибудь на BSD как на основную платформу. пусть там резвятся.
Непонятно о чём новость. В любой операционке можно найти баги в драйверах FS и приложениях и там будет точно так же запускаться вирус.
Дырявый гном, в кедах ничего само не открывается.
Да? То есть, вставляя флешку, юзер её не будет открывать?
А если таки будет, то какая разница - он сам откроет или система?
> Да? То есть, вставляя флешку, юзер её не будет открывать?
> А если таки будет, то какая разница - он сам откроет или
> система?Нет ни автомонтирования, ни авторанов. Всё равно, кто откроет флешку в файловом менеджере - система или человек - не произойдёт ничего, кроме показа списка файлов. Даже индексации какой то тупорылой. Надо фотки смотреть? Запускаешь gwenview и смотришь, какие проблемы.
> Дырявый гном, в кедах ничего само не открывается.Двачую. В кедах ничего само даже не монтируется. Это надо включать самому. Да, автомонтирование есть с давних времён, но его надо включать отдельно руками. И уж конечно никаких авторанов, лол. И тем более индексации картинок на флешке,лол. Вы чо, совсем хомяки что ле? Совсем без этого никак? Ну винду тогда поюзать попробуйте-должно люто понравиться.
> руками. И уж конечно никаких авторанов, лол. И тем более индексации
> картинок на флешке,лол. Вы чо, совсем хомяки что ле? Совсем без
> этого никак? Ну винду тогда поюзать попробуйте-должно люто понравиться.Индексацию картинок хрен отключишь, она везде, во всех просмотрщиках и менаджерах, просто не представляю насколько нужно быть тупым склерозником чтобы все это понадобилось. Зачем спрашивается мне 10 последних документов? Я-то с ними уже поработал, мне другие нужны, но нет, смотри, вот они, логи-то! TrueCrypt на весь хард и ведите свои логи сколько хотите, устал выключать!
> Индексацию картинок хрен отключишь, она везде, во всех просмотрщиках и менаджерах, простоудивлённо сделал ls /mnt/flash/photos. индексации не заметил. сделал feh /mnt/flash/photos/* индексации не заметил. ЧЯДНТ?
Лично я, не могу понять причем тут автозапуск......
Да есть проблемные библиотеки, т.е. скачиваем филе из сети смотрим на него система делает preview - заражается. (понятно)
То-же только источник flash - заражается (понятно)Почему в статье описана только ситуация с flash - не понятно.
Или теперь будет цикл статей по заражению: из сети, с CD, с DVD, через `cat /proc/filesystems`, и т.п.
Нет повести печальнее на свете... если линукс домашний для тог чтобы "была не винда", то бубунта движеццо в верном направлении, перенимая юзабилити со всеми болячками данного юзабилити "для домохозяек". Если линукс на сервере, то рабочий стол там нафиг н нужен, автомаунт там нафиг не нужен и ошибки могут быть только в случае уязвимости ФС или уязвимости драйвера устройства, которые находят редко, а фиксят быстро. Так что думаю новость в стиле капитана очевидности, что если настроить автозапуск с флешки с рутовыми правами и не читать предупреждения, то можно получить геморрой.
Эта новость должна была называться "Атака на GNOME-десктопы через запуск кода при вставке USB-накопителя"Корень проблемы в гноме - и на фряхе, и на солярке с гномом эта проблема должна проявляться точно так же, а на линаксе/фряхе/солярке без гнома её не будет.
Народ, я, конечно, понимаю, что нужно вначале развести срач, а потом разбираться... но...>При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) и >NX (неисполняемые области памяти), а также активный в момент вставки накопителя хранитель-экрана, не >смогли помешать проведению атаки.
ASLR и AppArrmor не смогли помешать проведению атаки, потому что их намеряно отключили, чтобы демонстрация удалась. При этом в Linux действительно существуют проблемы реализации ASLR и некоторые другие, на которые сообщество должно обратить внимание.
Неужели нельзя отключить всё кроме монтирования USB-диска? На Windows очень просто отключается автозапуск.
Шарится по реестру для виндузятников раз плюнуть. Ведь виндовс самая десктопная ос...
в общем, все осталось по-прежнему: что бы запустить вирус под linux, надо быть рутом, пропатчить его под свою версию ядра и загрузить его как LKM. а так, конечно, да -- уязвимость есть, все тролли довольны.
гениально! «исследователь продемонстрировал, что если у человека поломаны ноги, он очень нестабильно ходит и уязвим». у него там родственников среди Британских Учёных™ нет часом?
> гениально! «исследователь продемонстрировал, что если у человека поломаны ноги,
> он очень нестабильно ходит и уязвим». у него там родственников среди
> Британских Учёных™ нет часом?нет, "исследователь продемонстрировал, что если человек нестабильно ходит, не стоит пинать на неровные дороги, возможно у него него сломана нога, но никто на это не обращает внимание."
Докладчик показал всем на конференции как запустить код на свежей Ubuntu, на которой установлены все дополнения. Это сейчас задним числом легко рассуждать, точно также может быть организован взлом по заказу. Благо в libpng бага на баге и дыр еще на много лет хватит.
> Докладчик показал всем на конференции как запустить код на свежей Ubuntuубунту? что-то знакомое... м-м-м... а! вспомнил! это такая тормозная недовинда, в которой даже виндовые игры нормально не работают? а зачем она нужна?
Цитирую Сообщение от non anon on 09-Фев-11, 09:36Эта новость должна была называться "Атака на GNOME-десктопы через запуск кода при вставке USB-накопителя"
Корень проблемы в гноме - и на фряхе, и на солярке с гномом эта проблема должна проявляться точно так же, а на линаксе/фряхе/солярке без гнома её не будет.
что забавно, на винды выпустили таки патч, который _теперь уже точно_ отрубает авторан на флешках
http://isc.sans.edu/diary.html?storyid=10375
ежли
>> Для организации выполнения кода использовалась уязвимость в коде приложения Evince, используемого в Nautilus для формирования эскизов для DVI-документов.то причём тут
>> Спецификации freedesktop.org определяют возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, но обязательно при этом требуют вывода подтверждения данной операции от пользователя, не выполняя никаких действий автоматически.?
просто чтобы опять было чем ссыкунов и троллей, не дочитывающих до конца, потешить ? если на ЛОРе они самодостаточные, то тут их же надо ещё постимулировать, похоже... а уже начинают поднаедать новости из разряда "если задействовать одну уязвимость, то можно сделать так, как будто оно было сломано до нас".
PS: не ужто я так смачно по кнопочке промахнулся, или всё таки первый вариант этого потёрли уже :\
Потенциальные уязвимости такие потенциальные. Любой компьютер подключенный к Интернету потенциально уязвим так как могут быть дыры в tcp/ip. Браузер без спроса загружает картинки и пытается их открыть, какой ужас! Как бы регулярные обновления системы сделаны для минимизации рисков.