Я верю, что у тебя это работало. Но если уж на чистоту, то это не работа пользователя добывать картридж для принтера и менять его. Для этого и есть служба поддержки.
Да-да, раскажи мне про зарплату, а то я сам рынок не знаю. Про документы отвечать не буду. Админ должен использовать систему, с которой непосредственно работает. А слакваре в виндовой конторе и винда в виртуалке — это Лол.
Благоприятные условия для приемников??? Да что ты вобще админил сам? На его место придет человек и будет гуглить, как а) переинициализировать рейд под OpenBSD в случае падения диска б) устанавливать пакеты под слакваре, в) что делать со слакваре и бзд, когда у них вышли сроки поддержки и т.д.
я тоже про это подумал. картридж кончился, винт навернулся, аська не работает, и т.д. либо у них контора медленная и все ждут, когда он придет после обеда или просто в офисе сами решают проблемы без него.
А если ты все-таки пробъешь свои новинки, то в итоге на тебя повесят всю работу по осуществлению, все косяки, твои и чужие, и в итоге ты еще и будешь крайним. Если ты пробиваешь что-то в случае «работает и ладно», то благодарности не жди. Если скучно, лучше найти новую работу.
А еще через пару лет автор осознает, что был молод и полон интузиазма. Нашел работу на 45 т.р. в нске, это хорошо, удачно, но я не пойму, кто мог назвать эту зарплату маленькой при стандартных 25.
Но то, что эти 250 человек не создают ему проблем говорит лишь о том, что они в своих офисах они предоставлены сами себе и возможно не в курсе про админа. Про доменные политики ничего не сказано. Про нормативные документы айти можно вобще не спрашивать.
Как организован централизованный бакап, антивирус. Почему такой зоопарк с OpenBSD и Linux и причем здесь слакваре на рабочей машине админа, когда остальные 250 машины под виндой…
CommuniGate…
Я правильно понял, что тебе нечего ответить в соседней ветке (http://habrahabr.ru/blogs/infosecurity/113091/#comment_3639068 и habrahabr.ru/blogs/infosecurity/113091/#comment_3637839), потому что ты уперся в факты и ты пришел попытать счастья сюда?
Парень говорит, что _теоретически_ можно эксплуатировать и обойти все защиты, но сам он этого сделать _не_смог_.
ASLR был отключен, цитирую: «мое демо достаточно ламерское, простите, я вынужден был отключить оба и Apparrmor и ASLR, потому что с ASLR это занимало слишком много времени и было не настолько reliable(надежно), как мне бы хотелось. А мне бы хотелось, чтобы демо все-таки работало» (48ая минута, 5ая секунда).
Короче опять до практической эксплуатации уязвимость не дотягивает. Когда энтропию ASLR улучшат, эту флешку нужно будет вставить 100.000 раз, чтобы эксплойт сработал. Т.е. то о чем я и писал. В итоге все, как и в прошлом топике ты кричишь «Посмотрите! Теоретически Linux уязвим! Windows надежен, просто 30% пользователей идиоты и отключили автоапдейт!», а на практике массовые заражения винды, а Linux просто работает.
При чем тут 4ре уязвимости, найденные ВРУЧНУЮ, вобще не понял. Там же все взято из базы CVE. Остальное no comments.
Ты улыбнулся, а я презентацию посмотрел. Исследователь из IBM для успешной демонстрации отключил технологии повышения безопасности в Linux: ASLR (и AppArrmor).
Т.е. в докладе очень правильно отмечены недостатки энтропии в ASLR, но блин это совсем не та уязвимость, которую реально эксплуатировать.
> — А-а-а-а-а. Небо падает, конфикер поражает полгода непатченные машины
Да блин, поражает. Факт. А вот отключенный апдейт — это уже вторично. Почему пользователи умышленно _отключили_ апдейт? Это не утечка пароля от аккаунта. В массе своей люди делают то, что считают выгодным. Заставь их всех сделать несколько кликов для настройки безопасности! Не сделают! А тут треть, если не больше пользователей не поленилась отключить Update.
И антивирусы почему-то не спасли. А ты говоришь, это ничего не значит, теоретически система надежна. Так что же лучше, система которая теоретически вся такая надежная, но практически болеет или система, где теоретически что-то долго не запатчили, но при этом на практике нет эпидемий?
>Суперпользователя можно >отключить и использовать >настраиваемый sudo. От >suid/sgid в будущем, >надеюсь, откажутся.
Правды ради следует следует сказать, что как бы заменой suid/sgid на capabilities не устроили полный бардак и не открыли новых брешей. Сейчас хотя бы все просто и ясно.
>Ваши друзья мгновенно и не задумываясь начали бы рассказывать про «безопасность Windows сосет». Давайте без двойных стандартов уже, ОК?
Да зачем же повторять дурной пример-то?:) Ну не нравятся двойные стандарты, просто не нужно самому идти тем же путем и все.)
И да, я думаю, система обновлений и то, что пользователи ее не хотят использовать, говорит об их недоверии к системе, о том, что им ей неудобно пользоваться, о том, что они не считают нужным платить за эти обновления. И да, M$ как-то установил нужные им (!) дополнения к FF через свою систему обновлений. Кому это может понравится?
Опять же, в Linux этой проблемы нет.
«Если же говорить о механизмах безопасности в целом ...»
… то не надо валить все в кучу.
Да, блин любой здоровый человек скажет, что rwx — это не предел мечтаний. Но ведь у разных ФС есть и свои расширенные атрибуты. Будет нужно, добавят поддержку в GUI и все.
А разве «Run as...», который появился в Windows совсем недавно, это не аналог suid/sudo?
Я не слышал про проблемы проверки безопасности в Linux/UNIX. Уж не Windows-specific это проблема? Что такое security reference monitor?
1. EMET. Я не знаю, как именно работает эта штука, но смысла в том, что любое ПО, запущенное под EMET, начинает использовать ASLR. Верно? То есть мы имеем проблему third-party ПО в Windows. Оно не использует ASLR и это позволяет запустить эксплойт под Windows. Чтобы себя обезопасить, пользователь может использовать очередное изобретение от M$: Улучшенный Инструмент Уменьшения Опыта (Enhanced Mitigation Experience Toolkit). Логично предположить, что большая часть пользователей не будет озадачиваться этой темой.
А в репозитории Linux все ПО может быть по умолчанию скомпилировано с поддержкой ASLR.
Если взять только эти два факта, то преимущество очевидно.
> Х vulnerability — Шесть лет
Да, нифига неприятно такое читать, но про взломы на десктопах всеравно не слышно.
> 4 года, это баг который нашли в 2007, тут же залатали, в 2008 вернули, а в 2010 опять нашли. Не фонтан, конечно. sota.gen.nz/compat2/ Утешает, что нашли благодаря тому, что код открыт и опять же быстро исправили.
В ответ могу сообщить, что одна из дыр, использованных Stuxnet существовала с версии Windows 2000 (открытие иконки приводило к переполнению с повышением привилегий). И эту дыру Stuxnet действительно успел попользовать, да так что весь мир узнал. Также как и еще три-четыре 0-day.
Если дело в пароле, то во-первых, пароль будет спрашивать ее собственный, а не администраторский. Ну и можно разрешить «бабушке» без пароля запускать только центр установки ПО и больше ничего.:) Linux оч. гибкая штука, было бы желание.)
WSUS есть, да? Windows весь лицензионный?
Благоприятные условия для приемников??? Да что ты вобще админил сам? На его место придет человек и будет гуглить, как а) переинициализировать рейд под OpenBSD в случае падения диска б) устанавливать пакеты под слакваре, в) что делать со слакваре и бзд, когда у них вышли сроки поддержки и т.д.
Но то, что эти 250 человек не создают ему проблем говорит лишь о том, что они в своих офисах они предоставлены сами себе и возможно не в курсе про админа. Про доменные политики ничего не сказано. Про нормативные документы айти можно вобще не спрашивать.
Как организован централизованный бакап, антивирус. Почему такой зоопарк с OpenBSD и Linux и причем здесь слакваре на рабочей машине админа, когда остальные 250 машины под виндой…
CommuniGate…
Они даже называются похоже
Run as…
Substitude user do…
Парень говорит, что _теоретически_ можно эксплуатировать и обойти все защиты, но сам он этого сделать _не_смог_.
ASLR был отключен, цитирую: «мое демо достаточно ламерское, простите, я вынужден был отключить оба и Apparrmor и ASLR, потому что с ASLR это занимало слишком много времени и было не настолько reliable(надежно), как мне бы хотелось. А мне бы хотелось, чтобы демо все-таки работало» (48ая минута, 5ая секунда).
Короче опять до практической эксплуатации уязвимость не дотягивает. Когда энтропию ASLR улучшат, эту флешку нужно будет вставить 100.000 раз, чтобы эксплойт сработал. Т.е. то о чем я и писал. В итоге все, как и в прошлом топике ты кричишь «Посмотрите! Теоретически Linux уязвим! Windows надежен, просто 30% пользователей идиоты и отключили автоапдейт!», а на практике массовые заражения винды, а Linux просто работает.
При чем тут 4ре уязвимости, найденные ВРУЧНУЮ, вобще не понял. Там же все взято из базы CVE. Остальное no comments.
Т.е. в докладе очень правильно отмечены недостатки энтропии в ASLR, но блин это совсем не та уязвимость, которую реально эксплуатировать.
Да блин, поражает. Факт. А вот отключенный апдейт — это уже вторично. Почему пользователи умышленно _отключили_ апдейт? Это не утечка пароля от аккаунта. В массе своей люди делают то, что считают выгодным. Заставь их всех сделать несколько кликов для настройки безопасности! Не сделают! А тут треть, если не больше пользователей не поленилась отключить Update.
И антивирусы почему-то не спасли. А ты говоришь, это ничего не значит, теоретически система надежна. Так что же лучше, система которая теоретически вся такая надежная, но практически болеет или система, где теоретически что-то долго не запатчили, но при этом на практике нет эпидемий?
Правды ради следует следует сказать, что как бы заменой suid/sgid на capabilities не устроили полный бардак и не открыли новых брешей. Сейчас хотя бы все просто и ясно.
forums.grsecurity.net/viewtopic.php?f=7&t=2522
Да зачем же повторять дурной пример-то?:) Ну не нравятся двойные стандарты, просто не нужно самому идти тем же путем и все.)
И да, я думаю, система обновлений и то, что пользователи ее не хотят использовать, говорит об их недоверии к системе, о том, что им ей неудобно пользоваться, о том, что они не считают нужным платить за эти обновления. И да, M$ как-то установил нужные им (!) дополнения к FF через свою систему обновлений. Кому это может понравится?
Опять же, в Linux этой проблемы нет.
Про 17ти летний патч это шутка, ну да проехали.
… то не надо валить все в кучу.
Да, блин любой здоровый человек скажет, что rwx — это не предел мечтаний. Но ведь у разных ФС есть и свои расширенные атрибуты. Будет нужно, добавят поддержку в GUI и все.
А разве «Run as...», который появился в Windows совсем недавно, это не аналог suid/sudo?
Я не слышал про проблемы проверки безопасности в Linux/UNIX. Уж не Windows-specific это проблема? Что такое security reference monitor?
Пожалуйста. В гугле нужно искать linux coverity
Coverity has been testing code in open source projects since 2006.
Коверити как раз осуществляет статический анализ. Линк на 2010 год:
www.coverity.com/library/pdf/coverity-scan-2010-open-source-integrity-report.pdf
А где можно найти _независимый_ (т.е. не от M$)
отчет по Windows?
1. EMET. Я не знаю, как именно работает эта штука, но смысла в том, что любое ПО, запущенное под EMET, начинает использовать ASLR. Верно? То есть мы имеем проблему third-party ПО в Windows. Оно не использует ASLR и это позволяет запустить эксплойт под Windows. Чтобы себя обезопасить, пользователь может использовать очередное изобретение от M$: Улучшенный Инструмент Уменьшения Опыта (Enhanced Mitigation Experience Toolkit). Логично предположить, что большая часть пользователей не будет озадачиваться этой темой.
А в репозитории Linux все ПО может быть по умолчанию скомпилировано с поддержкой ASLR.
Если взять только эти два факта, то преимущество очевидно.
Redhat раз — инфы 0.
Redhat два — lists.fedoraproject.org/pipermail/devel-announce/2011-January/000746.html Компроментация внешняя, т.е. типа у кого-то пароль украли или типа того. Это не проблема ОС.
> Х vulnerability — Шесть лет
Да, нифига неприятно такое читать, но про взломы на десктопах всеравно не слышно.
> 4 года, это баг который нашли в 2007, тут же залатали, в 2008 вернули, а в 2010 опять нашли. Не фонтан, конечно. sota.gen.nz/compat2/ Утешает, что нашли благодаря тому, что код открыт и опять же быстро исправили.
В ответ могу сообщить, что одна из дыр, использованных Stuxnet существовала с версии Windows 2000 (открытие иконки приводило к переполнению с повышением привилегий). И эту дыру Stuxnet действительно успел попользовать, да так что весь мир узнал. Также как и еще три-четыре 0-day.
Вот тебе на последок тоже немного юмора: Microsoft to patch 17(!)-year-old computer bug.
news.bbc.co.uk/2/hi/technology/8499859.stm
:)
Бывает настрой похоливарить.:)