Внедрение GosLinux оказалось в 37 раз дешевле лицензий Windows


Страницы: (21) « Первая ... 17 18 [19] 20 21	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

bimb0

12.05.2016 - 16:38

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (IntRudeR2000 @ 12.05.2016 - 16:33)

Зачем так люто загрузил ребят :)))))

А что делать если люди фигню пишут? Разница в подходе к безопасности в win и nix кардинальна и обе концепции имеют право на жизнь. Люди просто не очень понимают разницу в подходах и смотрят со стороны винды, что неправильно.

Добавлено в 16:41

Цитата (awolfman @ 12.05.2016 - 16:36)

Цитата (bimb0 @ 12.05.2016 - 16:27)

По поводу безопасности иксов и зверинца под линух:

Сейчас многие дистрибутивы, в угоду пользователям, используют доступ через sudo от пароля пользователя.

Ну да, например убунта. И что? Может подскажите как выдернуть из /etc/shadow хеш пасса без рута? А так же как сбрутить, в лучшем случае, md5(Unix)?
Тем более, что вы говорите про версию из коробки, а на предприятиях и в конторах коробочные версии без настройки не используют...
P.S. md5(Unix) это md5 взятый тысячу раз...

Это сообщение отредактировал bimb0 - 12.05.2016 - 16:46

[^]

IntRudeR2000

12.05.2016 - 16:50

Статус: Offline

Приколист

Регистрация: 8.07.09
Сообщений: 204

Цитата (kernelinux @ 12.05.2016 - 16:36)

Цитата (karbat @ 12.05.2016 - 17:40)

IntRudeR2000

Цитата

Блин... да это официальный репозиций и они (госорганы) сами туда обновления необходимые и будут выкладывать. Естественно с задержкой, т.к. перелопатить много надо, но для работы тех-же самих органов будет нормально и некритично.

ну если сами госорганы будут выкладывать с задержкой, то думаю все вирусы будут крутиться у нас, пока через месяц другой не выпустят фикса) то есть у нас будет курортная зона в гос организациях для вирей)))

Вы меня извините, но в тех гос органах где я работал, ведомственная сеть изолирована от интернета. Для интернета отдельные компы стоят.
Когда слышу что в очередной раз взломали пентагон, чета ржу.

И да, вирусы под линух нужно скомпилить, я думаю вряд ли это умеет простой пользователь, даже имея рута

sudo su -

ему никто не даст

Канешь не даст :))))

[user@localhost ~]$ sudo su-
[sudo] password for user:
user is not in the sudoers file. This incident will be reported.
[user@localhost ~]$

Еще и репорт соберем :))))))

[^]

Hedgehog24

12.05.2016 - 16:56

Статус: Offline

Ярила

Регистрация: 3.06.12
Сообщений: 14748

Цитата (Катын @ 11.05.2016 - 14:59)

Цитата (espaces @ 11.05.2016 - 15:27)

Для сравнения, стоимость лицензионных программ Microsoft на такое же количество компьютеров составляет 794 млн руб, по оценке партнёров Microsoft.

Да я б за эти бабки в каждую школу нашей страны лично съездил и поставил весь необходимый пиратский софт

К тебе выехали. Контрольная закупка!

Это сообщение отредактировал Hedgehog24 - 12.05.2016 - 16:56

[^]

karbat

12.05.2016 - 17:09

Статус: Offline

Хохмач

Регистрация: 8.07.14
Сообщений: 792

Bashdoor

Цитата

Bashdoor (также англ. Shellshock[1]) — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября[2]. Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов. Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам[3].

Уязвимости заключаются в том, что Bash вопреки задекларированным возможностям производит исполнение команд при получении некоторых нестандартных значений переменных окружения (environment)[1][4]. За несколько дней после публикации оригинальной уязвимости было обнаружено несколько сходных ошибок, что не позволило оперативно издать версию с исправлениями.

Изначальная ошибка была обнаружена Стефани Шазеля [1] (фр. Stéphane Chazelas) 12 сентября 2014 года[1], который предложил назвать её «bashdoor» (созвучно backdoor)[1]. Уязвимость получила в базе MITRE номер CVE-2014-6271 и оставалась неопубликованной (находилась под эмбарго) до 14 часов по UTC 24 сентября, ради того чтобы авторы программы, создатели дистрибутивов и иные заинтересованные организации успели принять необходимые меры[5].

Анализ исходного кода Bash свидетельствует, что уязвимость была заложена в код приблизительно в версии 1.13 в 1992 году или ранее[6] и с тех пор оставалась необнаруженной среди общей публики и незадекларированной[4]. Группа авторов Bash затрудняется в определении точного времени внедрения ошибки из-за недостаточно подробной истории изменений (changelog)[1].

25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].

а вот повышение прав

Цитата

Повышение привилегий через setuid программы[править | править вики-текст]
Программа с установленным битом Setuid может вызывать bash непосредственно, либо косвенно при использовании системных вызовов system(3), popen и других, не сбрасывая при этом переменные окружения. Атака Shellshock в таких случаях позволит локальному пользователю повысить собственные привилегии до владельца подобной setuid программы, часто вплоть до root (суперпользователя).

уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...

Цитата

Уязвимость оффлайн-систем[править | править вики-текст]
Ошибка потенциально может достичь систем, не подключенных к сети Интернет, во время оффлайн обработки с помощью bash[42].

а это насчет взлома систем без интернета...

Это сообщение отредактировал karbat - 12.05.2016 - 17:16

[^]

kernelinux	12.05.2016 - 17:13 [ показать ] 2
Статус: Offline Медоеду похер Регистрация: 16.04.13 Сообщений: 3043	karbat Да и срать. На винде же работали столько времени, никто не помер, а уязвимостей на порядки больше.
	[^]

bimb0

12.05.2016 - 17:18

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (karbat @ 12.05.2016 - 17:09)

Bashdoor

Цитата

а вот повышение прав

Цитата

уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...

О боги, да какой криволапый админ даст юзверю доступ к башу? Обрабатывать через интерпретатор нефильтрованные данные - надо быть гением! Еще сплоитов, это не катит.
Суидный бит может поставить только рут! Кстати, суидник это самый простой и палевный способ закрепления в системе, лучше бэкдорить сервисы типа ссш и т.д.
Имхо, не зачет, автор, гугли еще!
P.S. Хартблид не предлагать

[^]

karbat

12.05.2016 - 17:18

Статус: Offline

Хохмач

Регистрация: 8.07.14
Сообщений: 792

Цитата (kernelinux @ 12.05.2016 - 17:13)

karbat
Да и срать. На винде же работали столько времени, никто не помер, а уязвимостей на порядки больше.

не спорю, окна дырявые)))

[^]

~~фрешдей~~

12.05.2016 - 17:20

-2

Статус: Offline

Ярила

Регистрация: 8.12.15
Сообщений: 1336

Цитата

Они винду покупали...? о_О

они купили линукс, систему с открытым кодом :)

[^]

kernelinux

12.05.2016 - 17:22

Статус: Offline

Медоеду похер

Регистрация: 16.04.13
Сообщений: 3043

Цитата (фрешдей @ 12.05.2016 - 19:20)

Цитата

Они винду покупали...? о_О

они купили линукс, систему с открытым кодом :)

Не купили, а заказали сертификацию и разработку, портирование под собственные нужды.

[^]

strong1978

12.05.2016 - 17:47

-1

Статус: Offline

Ярила

Регистрация: 24.04.15
Сообщений: 4236

Цитата (rmammoth @ 12.05.2016 - 15:19)

Цитата (strong1978 @ 12.05.2016 - 13:14)

Я не знаю как там гослинкус, но мне два месяца работы на обчном линуксе хватило. Вспоминаю как страшный сон. Ни дай бог дожить

Можно побольше конкретики? А то я вот давно снёс винду, сижу под линуксом, вроде всем доволен, а оказывается, и не подозреваю, что страшно мучаюсь. Просветите, умоляю!

Как танки на Линуксе запускать?

[^]

bimb0

12.05.2016 - 17:52

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (strong1978 @ 12.05.2016 - 17:47)

Как танки на Линуксе запускать?

Это сообщение отредактировал bimb0 - 12.05.2016 - 17:57

[^]

Shizo

12.05.2016 - 17:55

Статус: Offline

Юморист

Регистрация: 27.07.11
Сообщений: 553

Цитата (strong1978 @ 12.05.2016 - 17:47)

Как танки на Линуксе запускать?

В госучреждении?)
Кто хочет - запускает

[^]

Whitening	12.05.2016 - 18:21 [ показать ] 6
Статус: Offline _/¯(ツ)¯\_ Регистрация: 1.06.07 Сообщений: 1995	вот читаю вас много-много. сначала пытался комментить, а потом забил. бля, ну каким нужно быть дубовым-то, а? выли что либра и ОО говно - нате WPS Office, ан нет - не подходит ВПС - .odt не жрет... кричали что манагеры тупые, а когда на пальцах разъяснили, что все перепиливается в два счета стали голосить, что пингвин не вытягивает танки... только все устаканилось - вылезли починяльщики принтеров из частных типографий, мол не жрет линух принтера струйно-лазерные цветные. доводы о том, что давным давно cups уже является шаблоном для виндовых дров и интерфейсов не действуют. робкие мысли о том, что бюджетные, государственные и казенные предприятия из цветных бумаг печатают только деньги витают в воздухе и никем не могут быть приведены как аргумент о принципиально неверном подходе к рассмотрению .NIX в виде основной системы на компьютерах и серверах госслужащих и бюджетников. еще меня умиляют теоретические линуксовассерманы. блеать! сказано же более опытными пользователями и админами, что юзер, загадивший систему говном, нещадно удаляется и создается новый с теми же самыми настройками и файлами (о великий бэкап) за полчаса. но нет же....! пытаются впесдюрить теорию под устоявшуюся практику... как человек, слегка связанный и с линуксами (перешел лет 10 назад, винда тупо для для прошивки телефона стоит) могу сказать, что найти вирус под линукс сложно и надо специально стараться, чтобы обойти защиты браузера, потом ввести root пароль для компиляции, а опосля ввести пароль root для установки вируса, который не сможет никуда ни отослать информацию ни зашифровать файл или каталог, потому что они УЖЕ зашифрованы, а порты заблаговременно закрыты по принципу "открыты только нужные". конечно и подшипник можно сломать, если положить его в специальный пресс, но только кто даст нагородить "пресс" для слома государственного компа под управлением ОС Linux?
	[^]

gvk	12.05.2016 - 18:41 [ показать ] 0
Статус: Offline Приколист Регистрация: 10.12.07 Сообщений: 364	в начале года всей конторой перешли на 7cents пару месяцев допиливали под себя... теперь все довольны и что такое винда и не вспоминаем.
	[^]

IntRudeR2000

12.05.2016 - 18:52

Статус: Offline

Приколист

Регистрация: 8.07.09
Сообщений: 204

Цитата (karbat @ 12.05.2016 - 17:09)

Bashdoor

Цитата

а вот повышение прав

Цитата

уязвимость заложенна предположительно в 1992 году, обнаружена только в 12 сентября 2014 года...

Цитата

а это насчет взлома систем без интернета...

Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.
Последний вывод через sudo (если ты понимаешь о чем речь)

intruder ~ $ bash --help
GNU bash, версия 4.3.11(1)-release-(x86_64-pc-linux-gnu)
Использование:
bash [длинные опции а-ля `GNU'] [опции] ...
bash [длинные опции а-ля `GNU'] [опции] файл_со_скриптом...
Длинные опции в стеле GNU:
--debug
--dеbuggеr
--dump-po-strings
--dump-strings
--help
--init-file
--login
--noediting
--noprofile
--norc
--posix
--rcfile
--restricted
--verbose
--version
Опции оболочки:
-ilrsD or -c command or -O shopt_option (invocation only)
-abefhkmnptuvxBCHP или опция -o
Напишите `bash -c "help set"' для получения информации об опциях оболочки.
Напишите `bash -c ' для получения информации о встроенных командах оболочки.
Используйте команду `bashbug' для сообщений об ошибках.
intruder ~ $ env X="() { :;} ; echo busted" bash -c "echo stuff"
stuff
intruder ~ $ sudo env X="() { :;} ; echo busted" bash -c "echo stuff"
[sudo] password for intruder:
stuff
intruder ~ $

[^]

bimb0

12.05.2016 - 18:55

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (IntRudeR2000 @ 12.05.2016 - 18:52)

Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.

Дружище, даже если допустить, что это свежайший 0-day, ну в какой конторе, у какого админа обычный юзер имеет доступ к шеллу? Зачем?

[^]

IntRudeR2000

12.05.2016 - 18:57

Статус: Offline

Приколист

Регистрация: 8.07.09
Сообщений: 204

Цитата (bimb0 @ 12.05.2016 - 18:55)

Цитата (IntRudeR2000 @ 12.05.2016 - 18:52)

Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.

Пускай еще вирусы гуглит :)))) Мне же самому интересно

[^]

Whitening	12.05.2016 - 19:25 [ показать ] 0
Статус: Offline _/¯(ツ)¯\_ Регистрация: 1.06.07 Сообщений: 1995	с 2002 года пользуют - еще никто из-за этого не уволился... интересно - почему?
	[^]

karbat

12.05.2016 - 19:27

Статус: Offline

Хохмач

Регистрация: 8.07.14
Сообщений: 792

Цитата (bimb0 @ 12.05.2016 - 18:55)

Цитата (IntRudeR2000 @ 12.05.2016 - 18:52)

Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.

да зачем, вот только получилось так

Цитата

Векторы атаки[править | править вики-текст]
В течение часа после публикации уязвимости Bash появились сообщения о взломе компьютерных систем с её помощью. 25 сентября были подтверждены различные атаки 'in the wild', начиная с простых DoS, заканчивая развёртыванием серверов command & control через зловредную систему «BASHLITE»[34][35]. Корпорация Kaspersky Labs сообщала, что некоторые из зараженных компьютеров начали атаку DDoS против трех целей[8]. 26 сентября был обнаружен ботнет «wopbot», составленный из серверов, зараженных через bashdoor, и используемый в DDoS против CDN Akamai Technologies и для сканирования сетей Министерства обороны США[7].

и так

Цитата

25 сентября 2014 года на базе уязвимости уже были созданы ботнеты для проведения DoS и DDoS атак, а также для сканирования уязвимостей[7][8]. Предполагается, что уязвимы миллионы систем. Ошибка получила максимальную оценку по шкале опасности и сравнивается по значению с Heartbleed — ошибкой в OpenSSL (апрель 2014)[9][10].

а вот вам еще одна добрая уязвимости
Heartbleed

Цитата

Heartbleed (CVE-2014-0160) — ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.

На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, это составляло около 17 % защищённых веб-сайтов Интернета.[1]

Цитата

Ошибка была в TLS Heartbeat, несложном расширении TLS. TLS — протокол представления данных поверх TCP или UDP, рассчитанный, однако, только на непрерывный поток данных. Если же обмен данными состоит из запросов и ответов, появляется возможность определять какую-то информацию по активности связи, да и после длинного простоя надо будет заново устанавливать TLS-соединение. Чтобы справиться с проблемой, компьютеры «перебрасываются» туда-сюда пакетом случайной длины, и этим поддерживают связь в активном состоянии и «зашумляют» канал.[2]

Чтобы сложнее было отличить «сердцебиение» от полезного трафика, пошли на хитрость: пакет состоит из контрольной строки и ничего не значащего «хвоста». Компьютер должен вернуть сообщение, состоящее из такой же строки и своей порции «шума». Длина контрольной строки задаётся 16-битным целым числом.[2]. Если эта длина окажется больше, чем весь пакет, уязвимые версии OpenSSL читали память за пределами отведённого буфера[3] (RFC предписывает не отвечать на такие пакеты).

Heartbleed осуществляется отправкой некорректно сформированного Heartbeat-запроса, в котором реальный размер строки очень мал, а число, символизирующее длину передаваемой строки, очень велико. Так можно получить в ответ от сервера больше всего скрытой информации. Таким образом, у жертвы возможно за один запрос узнать до 64 килобайт памяти, которая была ранее использована OpenSSL.

Heartbeat-запрос выглядит так: «Верни мне слово тест, которое состоит из 4 букв», и получает ответ «тест». Heartbleed-запрос выглядит иначе: «Верни мне слово „тест“, которое состоит из 500 букв», и получает ответ, состоящий из слова «тест» и еще 496 символов, лежащих у жертвы в активной памяти. Несмотря на то, что злоумышленник имеет некоторый контроль над размером блока памяти, он никак не может управлять положением этого блока, и поэтому никак не может предвидеть его содержимое.

это все относительно того что в репозитории будет 100% чисто и не одной уязвимости)

Это сообщение отредактировал karbat - 12.05.2016 - 19:29

Внедрение GosLinux оказалось в 37 раз дешевле лицензий Windows

[^]

BattlePorQ

12.05.2016 - 19:33

Статус: Online

Парасьонах

Регистрация: 20.07.09
Сообщений: 65381

Цитата (strong1978 @ 12.05.2016 - 17:47)

Как танки на Линуксе запускать?

Примерно как-то так.

[^]

bimb0

12.05.2016 - 19:34

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (karbat @ 12.05.2016 - 19:27)

Цитата (bimb0 @ 12.05.2016 - 18:55)

Цитата (IntRudeR2000 @ 12.05.2016 - 18:52)

Бля... да ты чо? :))) Уже все как 2 года пофиксено, покрайней мере у меня.

да зачем, вот только получилось так

Цитата

и так

Цитата

а вот вам еще одна добрая уязвимости
Heartbleed

Цитата

это все относительно того что в репозитории будет 100% чисто и не одной уязвимости)

Говорил же, хартблид не предлагать, это дыра не в лине, а в сторонней либе. Хартблид это как очередная дыра в адобовском флешплеере (до его активного выпиливания), к винде не оносится, но стоит у всех.
По поводу дыры в баше - перепись некомпетентных админов, не более, выше указал причину.
Поймите, за пару часов, я могу заFUDдить билд да той же древней пойзон иви с помощью оллидебагера, поднять сервак управления, приклеить уже чистого (FUD - Full UnDetectable) троянца к какой-нибудь пиратке, а лучше kmsactivator'у и поиметь гораздо больше ботов в перспективе, в том числе и серваков...
Кстати, чтобы не быть голословным - видео, о том, как FUDят билды вирусов с помощью дебаггера.

Безопасность это очень относительная штука... И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...

Это сообщение отредактировал bimb0 - 12.05.2016 - 19:59

[^]

Whitening

12.05.2016 - 19:43

Статус: Offline

_/¯(ツ)¯\_

Регистрация: 1.06.07
Сообщений: 1995

Цитата (bimb0 @ 12.05.2016 - 19:34)

И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...

+++++
мильярд раз.
мы только ТУТ умные, но для работы ТАМ надо быть вообще семи пядей во лбу...

[^]

bimb0

12.05.2016 - 19:45

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (Whitening @ 12.05.2016 - 19:43)

Цитата (bimb0 @ 12.05.2016 - 19:34)

И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...

+++++
мильярд раз.
мы только ТУТ умные, но для работы ТАМ надо быть вообще семи пядей во лбу...

Да не, работают там тоже люди, просто трезво оцениваю свои возможности

[^]

karbat

12.05.2016 - 19:47

Статус: Offline

Хохмач

Регистрация: 8.07.14
Сообщений: 792

bimb0

Цитата

Безопасность это очень относительная штука... И да, я сильно сомневаюсь, что моих знаний хватит для трудоустройства безопасником в гос. сектор...

согласен, а знаний для отдела безопасников хватит с запасом, они такими знаниями зачастую не блистают, больше за то что бы все доки были в порядке и все что опечатывается было опечатано), нормальных безопасников наблюдал только в Москве студенты, там их обучали как способам взлома так и способам защиты...

[^]

bimb0

12.05.2016 - 19:50

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (karbat @ 12.05.2016 - 19:47)

bimb0

Цитата

Хз, взлому очень сложно обучить, это должно быть в крови. Настоящий хакер в первую очередь человек с крайне нестандартным мышлением, а уже потом технарь...
P.S. Positive Technologies, привет вам

Это сообщение отредактировал bimb0 - 12.05.2016 - 19:58

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 52524
0 Пользователей: