chek2fire Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Δείτε εδώ την είδηση http://www.insomnia.gr/forum/showthread.php?t=245932 και εδώ ποιό σύστημα άντεξε στο ίδιο διαγωνισμό μέχρι τέλους. http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-final-day-and-wrap-up http://popey.com/Vista_and_OS_X_Broken_but_Ubuntu_Secure Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
hasodikis Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 να προσθεσουμε όμως ότι βρέθηκαν στο ubuntu 400 περιπου δυνατότητες εκμετάλλευσης ή οποίες με βούληση των μετεχώντων δεν αποτέλεσαν αντικείμενο προσπάθειας εκμετάλλευσης Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
DIMITRISG Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 ενταξει γιαννης κερναει γιαννης πινει και μεταξυ κατεργαρεων.... αφου οι μεγαλυτεροι χακερς παγκοσμιως ειναι οι leaders του linux community Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
nske Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Νομίζω ότι κάτι τέτοιοι διαγωνισμοί δημιουργούν τη λάθος εντύπωση: ότι γίνεται να περιμένεις από το οποιοδήποτε λειτουργικό να σε κρατήσει ασφαλή. Έτυχε να έχει πρόβλημα η έκδοση του browser που περιείχε το MacOS και όχι του Ubuntu άρα και καλά το MacOS είναι πιο insecure από το Ubuntu. Απίστευτα απλοϊκό συμπέρασμα σε σημείο διαστρέβλωσης. Μια συγκυρία ήταν που θα μπορούσε κάλλιστα να υπάρξει και στο Ubuntu και στο οποιοδήποτε τέτοιου είδους σύστημα. Γιατί τι έχει κάνει το Ubuntu για να προστατέψει τον χρήστη από μια ενδεχόμενη αδυναμία του browser π.χ.; Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Cntrl+X Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Έτυχε να έχει πρόβλημα η έκδοση του browser που περιείχε το MacOS και όχι του Ubuntu Χωρίς πρόθεση υπεργενίκευσης, η τύχη συχνά ευνοεί τα προετοιμασμένα πνεύματα... Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Κατ' αρχάς ο διαγωνισμός, με τον τρόπο που έγινε ήταν σαφώς πολωμένος: pwn2own, δηλαδή ασχολήσου με το μηχάνημα που θες περισσότερο να αποκτήσεις. Προφανώς και έπεσε πολλή φαιά ουσία πάνω στο macbook air. Κατά δεύτερον τα exploits που αναζητούνταν ήταν συγκεκριμένης φύσης. Από τους οργανωτές: Day 2: March 27th: Default client-side apps The attack surfaces increases to also include any default installed client-side applications which can be exploited by following a link through email, vendor supplied IM client or visiting a malicious website. First one to pwn it receives the laptop and a $10,000 cash prize. The pwned machine(s) will be taken out of the contest at that time. Από αυτήν την κατηγορία ας πούμε αποκλείεται κάποιο kernel stack overflow, ή κάποιο buffer overflow σε μια setuid-root non-web-enabled εφαρμογή, δηλαδή το 90% των κρίσιμων αδυναμιών που υπάρχουν σε ένα σύστημα. Κατά τρίτον, δε δίνει πουθενά λίστα με τις εφαρμογές που ήταν εγκατεστημένες στα συστήματα αυτά. Ειδικά στο Ubuntu, οι επιλογές κατά την εγκατάσταση μπορούν να οδηγήσουν σε συστήματα ριζικά διαφορετικά. Και επιτέλους, πρέπει κάπου να σταματήσει αυτό το fanboyλίκι. Είναι που είναι οι χρήστες mac fanboys, οι χρήστες του ubuntu τείνουν να γίνουν χειρότεροι ώρες-ώρες. Ο συγκεκριμένος διαγωνισμός κατά τη γνώμη μου ήταν για τα μπάζα, με πολύ χαλαρούς κανόνες και τελικά μόνο λάθος εντυπώσεις δημιουργεί. Επιπλέον το γεγονός ότι το ubuntu άντεξε σε αυτόν το διαγωνισμό δε φτάνει σε καμία περίπτωση για να το χαρακτηρίσει κανείς «ασφαλές». Η ασφάλεια ενός λειτουργικού συστήματος (που και πάλι εξαρτάται από το τι ορίζει κανείς ως Λ/Σ αυτές τις μέρες) είναι κάτι που χρειάζεται πολύ παραπάνω από ένα 3ημερο πάρτυ για να εκτιμηθεί. Ενδεικτικά αναφέρω το εξής: O τύπος που «έσπασε» το MacOS κατά τα φαινόμενα χρησιμοποίησε μια αδυναμία της PCRE, μιας C βιβλιοθήκης, ιδιαίτερα δημοφιλούς, που παρέχει regular expression parsing. Το Νοέμβρη μετά από μια συνολική αποτίμηση του επιπέδου ασφαλείας της PCRE, βγήκαν στη φόρα 7 αδυναμίες αρκετά κρίσιμες, λαμβάνοντας υπόψιν ότι είναι πάρα πολλές οι εφαρμογές που κάνουν link στην libpcre3. Το debian έβγαλε το advisory και τα διορθωμένα πακέτα στις 5 Νοεμβρίου (DSA-1399-1). Το ubuntu, στις 27 (usn-547-1), 22 μέρες αργότερα (?!), με επηρεασμένες τις εκδόσεις 6.06 LTS, 6.10, 7.04 και 7.10. Αν ο διαγωνισμός είχε γίνει στις 15 Νοεμβρίου, το ubuntu θα είχε φύγει σε μισό λεπτό, από τα extensions του epiphany. Ξαναλέω, η ασφάλεια είναι πολύπλοκο ζήτημα. Το αν και κατά πόσον το Ubuntu είναι ασφαλές, φαίνεται κάθε μέρα στην πράξη και όχι από ένα 3ημερο πάρτυ. Εγώ απορώ πάντως που με περιπτώσεις όπως η παραπάνω στο ενεργητικό της, η Canonical έχει το θράσος να βγάζει Ubuntu Server Edition*. Τα 2 ευρώ-λεπτά μου. * Μεταξύ των εφαρμογών που χρησιμοποιούν την pcre, είναι ο apache, η php, o lighttpd κλπ Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Cntrl+X Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Το Νοέμβρη μετά από μια συνολική αποτίμηση του επιπέδου ασφαλείας της PCRE, βγήκαν στη φόρα 7 αδυναμίες αρκετά κρίσιμες, λαμβάνοντας υπόψιν ότι είναι πάρα πολλές οι εφαρμογές που κάνουν link στην libpcre3. Το debian έβγαλε το advisory και τα διορθωμένα πακέτα στις 5 Νοεμβρίου (DSA-1399-1). Το ubuntu, στις 27 (usn-547-1), 22 μέρες αργότερα (?!), με επηρεασμένες τις εκδόσεις 6.06 LTS, 6.10, 7.04 και 7.10. Αν ο διαγωνισμός είχε γίνει στις 15 Νοεμβρίου, το ubuntu θα είχε φύγει σε μισό λεπτό, από τα extensions του epiphany. Και το MacOS πότε ακριβώς διόρθωσε τη συγκεκριμένη αδυναμία; Διότι περί αυτού ο λόγος και όχι του Debian. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Το Δεκέμβρη, αλλά έχει σημασία; Και εδώ κάνουμε λόγο για το Ubuntu, όχι για το Mac OS X. Απλά αυτό που θέλω να καταδείξω είναι ότι υπάρχει πάντα ένα χρονικό παράθυρο στο οποίο κάποιοι γνωρίζουν την αδυναμία και μπορούν να την εκμεταλλευτούν ενώ οι vendors είτε δεν τη γνωρίζουν (zero-day) είτε δεν την έχουν διορθώσει ακόμα. Αυτό το παράθυρο διαφέρει ακόμα και για τον ίδιο vendor από περίπτωση σε περίπτωση, οπότε δεν είναι εύκολο να βγάλεις γενικά συμπεράσματα. Σε αυτού του είδους τους «διαγωνισμούς» και τι επιθέσεις λοιπόν, το παράθυρο αυτό είναι που μετράει. Και στη συγκεκριμένη περίπτωση το «παραθυρο» θα μπορούσε κάλλιστα να περιλαμβάνει και το Ubuntu. Το Debian το ανέφερα για να καταδείξω τη διαφορά ανάμεσα σε μια διανομή που θεωρεί το security support πρώτη προτεραιότητα και σε μια διανομή που δεν το έχει στην υψηλότερη των προτεραιοτήτων. For the record, αφού το θέτεις έτσι, ναι, νομίζω ότι το ubuntu αντιδρά πιο γρήγορα από την Apple. Αλλά με δεδομένο ότι δεν έχει σοβαρό security support για το universe και το multiverse, και ότι ώρες-ώρες αργεί πολύ να αντιδράσει, δεν το θεωρώ απαραίτητα πιο ασφαλές. Στην τελική, το πρώτο βήμα στην ασφάλεια είναι να ξέρεις τι σου γίνεται και τι τρέχει το σύστημά σου, καθώς και να έχεις λάβει τα μέτρα σου για να αποφύγεις τις αδυναμίες που δεν γνωρίζεις ότι υπάρχουν ή να μετριάσεις κατά πολύ τις επιπτώσεις μιας zero-day επίθεσης. Και σε αυτόν τον τομέα, τόσο οι χρήστες mac, όσο και οι μέσοι χρήστες του ubuntu είναι - προς το παρόν - στην ίδια μοίρα. Γι' αυτό ας μη δημιουργείται η εντύπωση σε κανέναν ότι είναι ασφαλής επειδή τρέχει κάτι που έπεσε σε 10 ώρες ενός διαγωνισμού ή δεν έπεσε μέσα σε 2 μέρες. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
chek2fire Δημοσ. 30 Μαρτίου 2008 Μέλος Share Δημοσ. 30 Μαρτίου 2008 Kάνεις λάθος γιαυτό. Σύμφωνα με μετρήσεις του αγγλικού linux format το ubuntu είναι η πιο άμεσα ενημερωμένη διανομή σε θέματα ασφαλείας. Δυστηχώς δεν γνωρίζω τι έγινε με το συγκεκριμένο πακέτο που αναφέρεις. Θα ήθελα όμως να μου πείς αν γνωρίζεις φυσικά αυτά εδώ τα πακέτα που ανεβήκαν πριν 4 μέρες και κλείνουν τα κενά ασφαλείας σε ruby http://www.ubuntu.com/usn/usn-596-1 Chris Clark discovered that Ruby's HTTPS module did not check for commonName mismatches early enough during SSL negotiation. If a remote attacker were able to perform man-in-the-middle attacks, this flaw could be exploited to view sensitive information in HTTPS requests coming from Ruby applications. (CVE-2007-5162) It was discovered that Ruby's FTPTLS, telnets, and IMAPS modules did not check the commonName when performing SSL certificate checks. If a remote attacker were able to perform man-in-the-middle attacks, this flaw could be exploited to eavesdrop on encrypted communications from Ruby applications using these protocols. (CVE-2007-5770) και σε SDL_image http://www.ubuntu.com/usn/usn-595-1 Michael Skladnikiewicz discovered that SDL_image did not correctly load GIF images. If a user or automated system were tricked into processing a specially crafted GIF, a remote attacker could execute arbitrary code or cause a crash, leading to a denial of service. (CVE-2007-6697) David Raulo discovered that SDL_image did not correctly load ILBM images. If a user or automated system were tricked into processing a specially crafted ILBM, a remote attacker could execute arbitrary code or cause a crash, leading to a denial of service. (CVE-2008-0544) Aν έχουν ανέβει σε άλλες διανομές όπως fedora,debian,arch,mandriva,suse. Θα ήτανε πολύ χρήσιμο να έπερνα μια απάντηση από κάποιον που γνωρίζει το αντικείμενο γιατί σε κάποιο άλλο forum αντί να μου απαντάνε επι της ουσίας αρχίσανε τα οπαδικά τους για τις super duper διανομές τους. Γενικά πάντως για τις ενημερώσεις ασφαλείας που ανεβένουν στο ubuntu μπορείτε να δείτε εδώ http://www.ubuntu.com/taxonomy/term/1+2/0 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Cntrl+X Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Το Δεκέμβρη, αλλά έχει σημασία; Ασφαλώς όχι. Τουλάχιστον όχι περισσότερη απ' ότι το γεγονός ότι η διόρθωση του σφάλματος στις 15/11 θα εξέθετε τις διανομές του Ubuntu αλλά όχι του Debian. Σε αυτού του είδους τους «διαγωνισμούς» και τι επιθέσεις λοιπόν, το παράθυρο αυτό είναι που μετράει. Και στη συγκεκριμένη περίπτωση το «παραθυρο» θα μπορούσε κάλλιστα να περιλαμβάνει και το Ubuntu. Άρα; Έχει σημασία ή όχι; For the record, αφού το θέτεις έτσι, ναι, νομίζω ότι το ubuntu αντιδρά πιο γρήγορα από την Apple. Αλλά με δεδομένο ότι δεν έχει σοβαρό security support για το universe και το multiverse, και ότι ώρες-ώρες αργεί πολύ να αντιδράσει, δεν το θεωρώ απαραίτητα πιο ασφαλές. Πιστεύω ότι ακόμα κι ο chek2fire (για να μην πω κι ο gdp77 )δε θα διαφωνούσε μαζί σου, ότι πρόκειται για έναν διαγωνισμό και όχι για μια συνολική αποτίμηση του επιπέδου ασφαλείας των ανωτέρω λειτουργικών. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
gdp77 Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Εγώ απορώ πάντως που με περιπτώσεις όπως η παραπάνω στο ενεργητικό της, η Canonical έχει το θράσος να βγάζει Ubuntu Server Edition*. Αν η canonical έχει θράσος που βγάζει server edition, τότε η M$ τι έχει; 'Ο,τι και να λες για την Canonical, ο εκπρόσωπός της (Ubuntu) ήταν εκεί. Ανταγωνίστηκε με τους ίδιους όρους και βγήκε νικητής. Προσωπικά χαίρομαι ιδιαίτερα γι' αυτό, γιατί βλέπω ότι το OS που εξαπλώνεται καθημερινά σε όλο και περισσότερο κόσμο (και εννοώ το Ubuntu και όχι το GNU/LINUX γενικά), αντιμετωπίζεται όπως το MAC OS και τα Vista. Η κατάκτηση του 10%-15% της αγοράς είναι απαραίτητη για να αποκτήσει το Ubuntu πραγματική υπόσταση ως λειτουργικό και 0-day υποστήριξη από όλους τους hardware vendors. Αμέσως μετά έρχεται η υποστήριξη από τους game developers που κυριολεκτικά θα επιτρέψει στο Ubuntu να σαρώσει. Πιστεύω ότι ακόμα κι ο chek2fire (για να μην πω κι ο gdp77 )δε θα διαφωνούσε μαζί σου, ότι πρόκειται για έναν διαγωνισμό και όχι για μια συνολική αποτίμηση του επιπέδου ασφαλείας των ανωτέρω λειτουργικών. Δε διαφωνώ. Για μένα η αξία της συμμετοχής είναι, όμως, τεράστια και την αναφέρω παραπάνω. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Kάνεις λάθος γιαυτό. Σύμφωνα με μετρήσεις του αγγλικού linux format το ubuntu είναι η πιο άμεσα ενημερωμένη διανομή σε θέματα ασφαλείας. Δυστηχώς δεν γνωρίζω τι έγινε με το συγκεκριμένο πακέτο που αναφέρεις. Θα ήθελα όμως να μου πείς αν γνωρίζεις φυσικά αυτά εδώ τα πακέτα που ανεβήκαν πριν 4 μέρες και κλείνουν τα κενά ασφαλείας σε ruby http://www.ubuntu.com/usn/usn-596-1 και σε SDL_image http://www.ubuntu.com/usn/usn-595-1 Aν έχουν ανέβει σε άλλες διανομές όπως fedora,debian,arch,mandriva,suse. Θα ήτανε πολύ χρήσιμο να έπερνα μια απάντηση από κάποιον που γνωρίζει το αντικείμενο γιατί σε κάποιο άλλο forum αντί να μου απαντάνε επι της ουσίας αρχίσανε τα οπαδικά τους για τις super duper διανομές τους. Λυπάμαι που θα σε ρίξω από τα σύννεφα, αλλά τα της Ruby στο debian έχουν ανέβει από τις 25 Νοεμβρίου, δηλαδή εδώ και 4 μήνες [1]. Τα της SDL-image, στις 10 Φεβρουαρίου, δηλαδή 1μιση μήνα πριν το Ubuntu. Το τι άποψη μπορεί να έχει το Linux Format για την ασφάλεια των διανομών, θα το αφήσω να το κρίνετε εσείς. [1] http://lists.debian.org/debian-security-announce/2007/msg00189.html [2] http://lists.debian.org/debian-security-announce/2008/msg00055.html Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
DIMITRISG Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 η mandriva 8 Νοεμβρίου!!! ...τσσσσ http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:212 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Αν η canonical έχει θράσος που βγάζει server edition, τότε η M$ τι έχει; Ανέφερα πουθενά τη microsoft; Δε νομίζω. 'Ο,τι και να λες για την Canonical, ο εκπρόσωπός της (Ubuntu) ήταν εκεί. Ανταγωνίστηκε με τους ίδιους όρους και βγήκε νικητής. Προσωπικά χαίρομαι ιδιαίτερα γι' αυτό, γιατί βλέπω ότι το OS που εξαπλώνεται καθημερινά σε όλο και περισσότερο κόσμο (και εννοώ το Ubuntu και όχι το GNU/LINUX γενικά), αντιμετωπίζεται όπως το MAC OS και τα Vista. Δε λέω εγώ, λένε τα στοιχεία: οι χρόνοι αντίδρασης του ubuntu είναι υπερβολικά μεγάλοι για οποιαδήποτε mission-critical εφαρμογή. Η κατάκτηση του 10%-15% της αγοράς είναι απαραίτητη για να αποκτήσει το Ubuntu πραγματική υπόσταση ως λειτουργικό και 0-day υποστήριξη από όλους τους hardware vendors. Αμέσως μετά έρχεται η υποστήριξη από τους game developers που κυριολεκτικά θα επιτρέψει στο Ubuntu να σαρώσει. Ωραία, χαίρομαι που θα τα κάνει όλα αυτά το Ubuntu, αλλά θα προτιμούσα να ίσχυαν για το GNU/Linuχ γενικά και όχι να προσπαθεί να τα πετύχει το ubuntu για τον εαυτό του. Hint: χρειάζεστε τις άλλες διανομές πολύ περισσότερο απ' ότι σας χρειάζονται αυτές, καταλάβετέ το και κόφτε τους φανατισμούς, γιατί μια μέρα αυτό το 10-15% θα φάει το ξενέρωμα της ζωής του. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
gdp77 Δημοσ. 30 Μαρτίου 2008 Share Δημοσ. 30 Μαρτίου 2008 Ανέφερα πουθενά τη microsoft; Δε νομίζω. Δεν την ανέφερες. Απλά έγραψα ότι τη στιγμή που τα σουρωτήρια της M$ αποκαλούνται "server edition", δεν καταλαβαίνω γιατί τόσο μένος για την Canonical. Δε λέω εγώ, λένε τα στοιχεία: οι χρόνοι αντίδρασης του ubuntu είναι υπερβολικά μεγάλοι για οποιαδήποτε mission-critical εφαρμογή. Έχω την εντύπωση ότι για mission-critical καταστάσεις, κανείς δεν εμπιστεύεται κάποια συγκεκριμένη διανομή. Στήνουν Linux / freeBSD κτλ ανάλογα με τις ανάγκες τους και δουλεύουν τις custom - in - house - made εφαρμογές τους. Ωραία, χαίρομαι που θα τα κάνει όλα αυτά το Ubuntu, αλλά θα προτιμούσα να ίσχυαν για το GNU/Linuχ γενικά και όχι να προσπαθεί να τα πετύχει το ubuntu για τον εαυτό του. Hint: χρειάζεστε τις άλλες διανομές πολύ περισσότερο απ' ότι σας χρειάζονται αυτές, καταλάβετέ το και κόφτε τους φανατισμούς, γιατί μια μέρα αυτό το 10-15% θα φάει το ξενέρωμα της ζωής του. Για το GNU/Linux των 20-30 διανομών δεν πρόκειται να ισχύσουν ποτέ αυτά που γράφω. Θέλω σοβαρό ανταγωνιστή στην M$ σε ΟΛΑ τα επίπεδα. Μακάρι να μην είναι ένας, αλλά περισσότεροι, αλλά αυτή τη στιγμή βλέπω ότι μόνο η Canonical ΘΕΛΕΙ και ΒΡΙΣΚΕΤΑΙ ΣΤΟ ΣΩΣΤΟ ΔΡΟΜΟ προς αυτή την κατεύθυνση. Για να επανέλθουμε στο θέμα της ασφάλειας, για μένα το θέμα είναι ότι δουλεύω πάνω από 2 χρόνια Ubuntu. Ουδέποτε κόλλησα ιό, malware, spyware κτλ με τη default προστασία του OS (χωρίς extra software). Δεν μπορώ να πω το ίδιο για τα XP και τα Vista. Αυτό μου αρκεί για να θεωρώ το λειτουργικό μου όχι απλά ασφαλές, αλλά αδιαπέραστο. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.