Kernel.org был заражен в течение 17 дней

    Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.

    Только через 17 дней троян был обнаружен на машине одного из разработчиков ядра H Peter Anvin. Далее на серверах kernel.org Hera и Odin1.

    Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.

    Разработчики уверяют, что все файлы ядра подписаны SHA-1, и подменить их невозможно, но на всякий случай проверяют дальше.

    Троян удалось обнаружить по сообщению об ошибке в Xnest, на машине, в которой не должно быть X Window. Разработчики настоящие профессионалы, они сразу догадались, что такого не должно быть.

    Источник The Register.
    Поделиться публикацией

    Похожие публикации

    Комментарии 218

      +82
      РЕШЕТО
        +5
        И нечему тут удивляться. Знал, ведь, что карму сольют — ее и слили
          0
          Интересно как получилось заразить компьютер. Вот это самое наверное интересное. Потому как ну ладно Windows там пользователи вечно нажимают куда не надо, а в Linux как такое возможно? Неужеле началась бинарная совместимость? Стандартизация? Вот когда надо валиться libpcre, а когда вирусы вот те на… *огорчен*

          В вашу защиту могу сказать: люди выставляющие рейтинги просто не согласны или обижены темой. А рейтинг уже не отношение к мнению человека, а просто хамство участников.
            0
            > бинарная совместимость?

            она всегда была.

            >Стандартизация

            набор сисколов стандартизирован (в том смысле, что не отличается в разных инсталяциях).

            >Интересно как получилось заразить компьютер

            у разработчика на машине очень часто бывают хер знает какие версии софта. вечно или дикий блидинг едж или наоборот старье.
              0
              Не обязательно заражать компьютер.

              Возможно достаточно заразить пользовательское окружение: вызвать свой скриптик из ~/.bashrc, или кинуть подмененные утилиты (как вариант — врапперы на баше/перле) и добавить новый путь в начало $PATH.
          +37
          > Разработчики настоящие профессионалы, они сразу догадались, что такого не должно быть.
          Звучит как-то… с иронией что ли.
            +31
            > в течение 17 дней
            > сразу догадались

            [Шутка про эстонских разработчиков].

            А вообще подобного не должно быть вообще. Как вообще можно держать mission critical сервер без цепочки доверия (TPM + полноценный контроль целостности кода)?

            Если им понадобилось три недели и счастливая случайность чтоб обнаружить тупой авторан троян (rc3.d демон) даже без руткит компоненты, то где гарантия того, что там не осталось полноценных руткитов?

            Если немного углубиться в конспирологию, то будь я злоумышленником, я бы наверное оставил один-два простеньких трояна на поверхности, чтоб их нашли и успокоились, и закопал бы парочку крайне труднообнаружимых.
              +2
              Что касается варианта «оставить один-два простеньких трояна», то тут лучше всё-таки засадить один руткит, но так, чтобы невозможно было никакими прямыми и почти никакими косвенными методами определить его наличие.
                +3
                Д. Рутковская одобряет ваш коммент %)
                  +1
                  Иоанна Рутковская.
                    +1
                    Да ее как только не склоняют. То Джоанна, то Иоанна
                +8
                >TPM

                Trusted Platform Module? А его использование разве не противоречит идеологии FSF?
                  –5
                  Никого не волнует Идеология FSF. TPM — это такая же железка как и все остальные.
                    +5
                    ошибаетесь. Я могу привести пример человека, которого волнует идеология FSF
                      –4
                      Столлман и его сраная кошка?
                        +4
                        Про кошку не знал, спасибо. Значит два примера: Человек и кошка.

                        (но чтобы доказать ошибочность утверждения «никого», достаточно было одного примера)
                          –3
                          Зануда WINS!!!
                  +4
                  где гарантия того, что там не осталось полноценных руткитов?

                  именно поэтому они сейчас занимаются полной переустановкой скомпрометированных серверов.
                    –2
                    Странное поведение.
                    Я бы установил рядом новые сервера, а старые сервера оставил для детального изучения.
                      +1
                      Можно сделать дамп диска и заниматься изучением в песочнице.
                      0
                      А может для начала надо было провести полноценное расследование и выяснить как туда попал руткит и как машина одного из разработчиков была затроянена?

                      Высока вероятность что это была атака на неизвестную ранее уязвимость. Можно было бы выяснить на какую и выпустить патч.

                      Думать о том что уязвимость через которую атаковали была известна как в случае с взломом Apache.org не хочется, ибо иначе сообщество kernel.org упадет в моих глазах еще ниже.

                      Системный подход и наличие методов реагирования на инциденты как раз отличает профессионалов от остальных.
                        +4
                        >Думать о том что уязвимость через которую атаковали была известна как в случае с взломом Apache.org не хочется, ибо иначе сообщество kernel.org упадет в моих глазах еще ниже.

                        мнение менеджера MSFT по троллению на хабре — безусловно очень важно для всего опенсорц-сообщества.
                          0
                          Я менеджер по безопасности и таки разбираюсь в теме.

                          Кстати, из вашего опенсорс сообщества учились по моим статьям Nagios, Postfix и прочий опенсорс устанавливать и настраивать.

                          А вы чего добились чтобы ваше мнение было интересно? :)

                            0
                            Больше экспрессии, у Балмера лучше получается!
                              0
                              «Я автор статей, текстов и постов»
                                0
                                Понятно. Значит по делу вам сказать нечего. :)
                                  +1
                                  Как это нечего? Я менеджер по безопасности и таки разбираюсь в теме.
                      –7
                      Мне всегда доставляет удовольствие попинать напыщенных дураков «линукс безопасен»(с).
                      Если бы взломщики не провтыкали с иксами, то троян жил бы себе дальше.
                      И в эти проверки с SHA1 я не верю. Если взломщики не идиоты, то они не станут сразу подменять файлы, можно выждать и подгадать вставку вредоносного кода одновременно с легитимным коммитом.
                        +17
                        Как вставить вредоносный код одновременно с легитимным коммитом? Разрабочик заметит при следующем коммите конфликт, если же это сделать для старых версий, то конфликт будет обнаружен остальными.
                          +26
                          > И в эти проверки с SHA1 я не верю.
                          Почитайте как работает git. Дело не в вере, а в принципе работы.
                            0
                            А сам Git на сервере защищен от подмены?
                            Пользователь отправил один файл, псевдо-git дописал в него малварь и записал на диск. Когда пользователь берет файл с сервера, то малварь из кода удаляется и отдается пользователю чистый файл, с правильной суммой.

                            Это тяжело, но вполне возможно.
                              +5
                              >Когда пользователь берет файл с сервера, то малварь из кода удаляется и отдается пользователю чистый файл, с правильной суммой.

                              ну и толку тогда эту малварь вообще совать, если ее никто не стянет?
                                +1
                                Я думаю хакеры придумают как отдать разработчику чистый код, а конечным пользователям модифицированный.

                                Людям в kernel.org пришли подобные мысли, иначе они бы не начали крупномасштабную сверку исходников.
                                  +9
                                  >Я думаю хакеры придумают как отдать разработчику чистый код, а конечным пользователям модифицированный.

                                  прямо на kernel.org НИКТО коммит-доступа не имеет — поэтому с точки зрения этого сервера, все запросы идут от «конечных пользователей».

                                  любая ветка ядра, которая синхронизируется с мейнлайном, делает такой же анонимный pull с этого сервера и во всех этих ветках уже всплыли бы левые изменения.

                                  собственно проверка делается потому, что эти изменения могли расползтись, но пройти незамечеными. при таком качестве и количестве перекрестного ревью, как в линуксе, это достаточно маловероятно.
                                    +5
                                    Спасибо, я узнал много нового и интересного о работе GIT.

                                    Но осадочек остался, надо пойти на свой сервер посмотреть.
                                      +5
                                      >Но осадочек остался, надо пойти на свой сервер посмотреть.

                                      а вот это правильно.
                            +4
                            >подгадать вставку вредоносного кода одновременно с легитимным коммитом.

                            не взлетит.
                              –19
                              Да, в прошлый раз мы уже слышали, что «вирусов в Линуксе быть не может по определению», ага.
                                +18
                                >вирусов в Линуксе быть не может по определению

                                это какой-то маркетинговый лозунг. с технической точки зрения, высказывание бессмысленно.
                          +4
                          Ну и что?
                            +10
                            В смысле «что»? Достоверное известно, что у злоумышленников был root на Hera — это основном kernel.org сервере. Есть подозрения, что бекдоры есть и на других серверах.

                            Хотя в целом да — ничего экстраординарного.
                              +5
                              На сервере обнаружили троян. На других серверах «может» :-) быть бэкдор. Что в этом удивительного пусть это и kernel.org? Если бы он был абсолютно неуязвимым, то по вашей логике и другие сервера могли бы быть. Но этого не будет — никогда.
                                +1
                                Ну да, никогда. Ведь проще объявить ОС безопасной, чем действительно сделать ее такой. Вообще то против троянов на сервере уже давно есть средство. Да и SDL пора бы внедрять. С обязательным моделированием угроз, статическим и динамическим анализом кода, fuzz-тестированием, независимым секьюрити-ревью всех фич и пр… Всяко лучше, чем надеяться на ManyEyes™, которые даже существующие юниттесты иногда не могут запустить.
                                  +11
                                  Действительно Linux, не безопасен, вот вин серваки они круты, там же вирей почти нет, бэкдоры вообще не появляются, а «мелкософт» всегда патчит критические уязвимости. А линух, да говно ваш линух, взлома ли аж целый сервак, ужас нах, это же ппц какой-то.

                                  PS: для особо тупых *IRONY* *SARCASM*
                                    +2
                                    Это не ирония и не сарказм. Это глупость.
                                      +5
                                      Тут весь интернет на ушах стоит, что CA в нидерландах скомпрометирован. Сертификаты для гугла и yahoo поддельные сделали. А Diginotar между прочим Windows и ASP.NET используют… Так… инфа для размышления.
                                      –8
                                      А за пару лет до этого поломали RedHat и год назад Apache.org. Крупнейших опенсорс вендоров выносят одного за другим. Умных людей это должно наводить на определенные выводы.
                                        +2
                                        Вы про этот случай, да?

                                        В статье кстати имеется список взломов (этот сайт ломают примерно каждые 6 месяцев).
                                          –6
                                          Нет я про вот этот

                                          campustechnology.com/articles/2008/08/red-hat-hacked-company-issues-security-advisory.aspx

                                          Когда из RedHat вынесли все вплоть до сертификатов. Затем стали создавать обновления с троянами и распространять их по Redhat Satelite Network.

                                          Это вам не банальный дефейс вебсайта в 2001 году

                                          Расскажите ка мне когда кто нибудь взламывал Windows Update? Нет!

                                          А вот вам свежее. Взлом Primary DNS компании RedHat
                                          www.voiceofgreyhat.com/2011/08/primary-dns-server-of-redhat-hacked-by.html

                                          Понятно что два раза за 3 года это совсем не стоящий внимания набор инцидентов.

                                            +6
                                            А зачем взламывать Windows Update? И без этого всё отлично получается, гораздо более простыми и примитивными способами

                                            вот как видно для редхата другого пути не нашлось.
                                              0
                                              > Затем стали создавать обновления с троянами
                                              > и распространять их по Redhat Satelite Network.

                                              Вы сами читали статью, на которую ссылаетесь?

                                              www.redhat.com/archives/fedora-announce-list/2008-August/msg00012.html:
                                              «However, based on our efforts, we have high confidence that the intruder was not able to capture the passphrase used to secure the Fedora package signing key. Based on our review to date, the passphrase was not used during the time of the intrusion on the system and the passphrase is not stored on any of the Fedora servers».

                                              «Based on these efforts, we remain highly confident that our systems and processes prevented the intrusion from compromising RHN or the content distributed via RHN and accordingly believe that customers who keep their systems updated using Red Hat Network are not at risk. We are issuing this alert primarily for those who may obtain Red Hat binary packages via channels other than those of official Red Hat subscribers».

                                              «It is important to note that the effects of the intrusion on Fedora and Red Hat are *not* the same. Accordingly, the Fedora package signing key is not connected to, and is different from, the one used to sign Red Hat Enterprise Linux packages. Furthermore, the Fedora package signing key is also not connected to, and is different from, the one used to sign community Extra Packages for Enterprise Linux (EPEL) packages».
                                              –10
                                              А вот взлом главного репозитария опенсорса GNU Savanah www.theregister.co.uk/2010/12/01/gnu_savannah_hacked/

                                              А здесь поимели apache.org
                                              www.theregister.co.uk/2009/09/03/apache_website_breach_postmortem/

                                              Все еще хотите спорить про опенсорс безопасность как явление стоящее внимания?
                                                +2
                                                >А вот взлом главного репозитария опенсорса GNU Savanah

                                                Savannah aims to be a central point for development, maintenance and distribution of official GNU software.

                                                Для вас «official GNU software» == «опенсорс в целом»? Ну что ж, я снова не удивлён…
                                                  –5
                                                  Это не весь опенсорс а его икона и центральный рупор. Но в целом это не имеет никакого значения.

                                                  Вы лучше от темы не отклоняйтесь и расскажите почему так часто опенсорсных вендоров взламывают.

                                                  Или вам по теме вопроса сказать нечего но уж очень хочется заявить свое мнение поэтому и пишете не о чем?
                                                    +2
                                                    > почему так часто опенсорсных вендоров взламывают

                                                    1. Вопрос в определении слова «часто». Вы привели 4 примера, самый ранний датирован 2008 годом, самый поздний — 2011-м. Итого, с учётом данного топика получаем 5 взломов за 4 года по всем вендорам в сумме, или 1,25 взломов в год. Как вам уже писали выше, сайт *.microsoft.com с 2000 по 2008 год взламывали 46 раз, итого 5,1 взломов в год. Если говорить, что опенсорсных вендоров взламывают «часто», то вендоров закрытого ПО взламывают суперпупермегачасто.

                                                    2. Вы так говорите «взламывают», будто это что-то плохое.
                                                    — взлом GNU Savannah: спёрли хеши паролей (на то они и хеши, чтобы их воровали) и устроили недельный даунтайм площадки.
                                                    — взлом Apache.org: спёрли хеши паролей и получили root'а на серверах.
                                                    — взлом Red Hat: попытались подобрать пароль к сертификату для подписи пакетов, но не преуспели.
                                                    — взлом kernel.org: традиционно спёрли хеши паролей и зачем-то отслеживали действия Shell-аккаунтов.

                                                    Что-то я не вижу, чтобы данные инциденты хоть как-то влияли на тех, кто пользуется Open Source продуктами.
                                                      0
                                                      Вы радуете меня все более и более. За 3 года дважды взломали apache.org конечно это ни разу не часто.

                                                      Так и представляю как вы машете флагом с надписью «Ну и что что нас взломали. Это ведь понарошку и не считается».

                                                      И никак не влияет на пользователей. Фанатики такие фанатики. :)
                                                        0
                                                        Вы настолько талантливо игнорируете участки комментарии, на которые вам нечего ответить, что я начинаю подозревать у вас бельмо на глазу :(

                                                        Как вам уже писали выше, сайт *.microsoft.com с 2000 по 2008 год взламывали 46 раз. Это намного чаще, нежели apache.org. Но это почему-то у вас «частым» не считается.
                                                          0
                                                          Ну так «фанатики такие фанатики», чего ж вы хотели %)

                                                          «Ну и что, что нас ломают по 5 раз в год, это ведь понарошку и не считается».
                                                            0
                                                            Ссылку на официальный источник пожалуйста.
                                                              +1
                                                              Так вам её выше давали. www.zone-h.org/news/id/4702

                                                              Или вам, что, подтверждение от Microsoft нужно? :-) Так Microsoft — не kernel.org, чтобы публично признавать свои ошибки. Они дыры втихомолку латают.
                                                                0
                                                                Набор мельких сайтов поднятых в разных странах вендорами работающими по контракту это никак не Microsoft.

                                                                В Росии тоже есть пачка таких мелких сайтов, созданных внешним подрядчиками и номинально эти сайты принаджежат MS.

                                                                Такие сайты не проходят сертификацию на безопасный хостинг и не могут быть помещены например на microsoft.com

                                                                Вы мне пожалуйста ссылку предоставьте на взлом настоящего официального сайта MS, такого как microsoft.com, bing, ms technet, msdn или channel 9
                                                                  +1
                                                                  Вы, кажется, забыли контекст разговора. Эти вендоры, работающие по контракту, они, что, opensource? Почему Apache Foundation и kernel.org без всякой сертификации выдерживают ваш несчастный APT с одной компрометацией в течение трёх лет, а любой подраздел microsoft.com, не прошедший какую-то вашу сертификацию, вскоре падает вне зависимости от того, насколько этот подраздел кому-нибудь нужен?

                                                                  (technet, говорите? хехе. isc.sans.edu/diary/When+Rogue+On-Line+Pharmacies+Take+Over+Forum+Discussions/8032 )
                                                                    –2
                                                                    Посмеялся. Вы разницу в том чтобы положить DIV в комменте и взломе сервера понимаете?

                                                                    Это действительно супер взлом. Если разница между настоящим взломом и этим вам не понятна то я соболезную.

                                                                    Только что вы доказали свою профнепригодность.
                                                                      +2
                                                                      Итак, мы заслушали мнение специалиста по информационной безопасности, сотрудника Microsoft, который считает, что дефейс популярного поддомена Microsoft, вызванный отсутствием элементарной фильтрации ввода в говнокоде форума technet.microsoft.com и потенциально способный привести к фишингу, финансовым и репутационным потерям — это так, ерунда.

                                                                      Спасибо, с вашей профпригодностью мне тоже всё ясно.
                                                                      –2
                                                                      То что apache.org взломали два раза за три года это как раз показатель того что они справились с APT. Насколько помню в прошлый раз взлом был осуществлен простейшей атакой социальной инженерии через JIRA. Мастера своего дела однако. Сертификация и обучение азам им как раз очень пригодилась бы.

                                                                      А может их пока никто серьезно не ломал и для них еще не наступила APT? Про неуловимого Джо шутку знаете?

                                                                      Те ссылки что вы прислали не являются подразделами microsoft.com если посмотрите на доменные имена вам станет это очевидно. Обычно это сайты однодневки созданные фанатами или маркетинг менеджерами для запуска тех или иных локальных маркетинговых компаний. Делается это силами локальных вендоров и хостится у локальных хостеров.

                                                                      Про уровень профессиональности локальных вендоров Албании и Кореи вам объяснять нужно?

                                                                      То вывод что это сайты однодневки подтверждает хотя бы то что большая часть из них уже мертва, не обновляется и не работает.
                                                                        +2
                                                                        Ага, так и запишем: Microsoft привлекает непрофессиональных партнёров и доверяет им подразделы собственного корпоративного сайта.

                                                                        Ещё раз спасибо.
                                                                          –2
                                                                          Такое тоже может случиться. Или у вас проблем не бывает.

                                                                          А теперь раскройте тему как же так вышло со взломом linux.com и linuxfoundaton.com?

                                                                          Или это тот самый безупречный опенсорс стиль?
                                                                            +3
                                                                            Такое тоже может случиться. Или у вас проблем не бывает.
                                                      +4
                                                      Каждый раз, когда вижу комментарии евангелистов и пиарастов MS, задаюсь одним вопросом: эта контора специально занимается подбором самых упоротых идиотов, или идиоты сами к ней тянутся? Сможете ответить?
                                                        –5
                                                        А я каждый раз задаюсь вопросом сколько можно отрицать очевидное. Поимели кучу вендоров опенсорса, но фанаты считают что их ни разу не опустили. Даже очевидные факты неспособны воспринимать. Про таких есть русская пословица "… все божья роса".
                                                          0
                                                          «Поимели», «опустили»… [картинка с Варгом.жпг]
                                                            0
                                                            Не там пиарите свой мелкософд
                                                              0
                                                              Чуть выше вам показали, как вашу «икону и центральный рупор» (*.microsoft.com) «имеют» по 5 раз в год, но вы даже очевидные факты неспособны воспринимать.
                                                              Да, русская пословица про росу тут очень уместна. Про соломинку и бревно тоже.
                                                                –1
                                                                Сслыки с подтверждением указанных вами фактов будьте добры. Или буду считать вас человеком оторванным от реальности с лучшем случае, а в худшем…
                                                                  +1
                                                                  >Сслыки с подтверждением указанных вами фактов будьте добры.

                                                                  Ссылки на какие факты? На то, что «чуть выше вам показали...»? Да не вопрос: тынц %)

                                                                  >Или буду считать вас...

                                                                  Знаете, мне в принципе довольно параллельно, кем меня «будет считать» кто-то там в интернете, а уж кем меня будете считать лично вы (не различающий GNU и Linux, утверждающий, что technet — один из «крупнейших сайтов планеты» и отжигающий про то, что американские и европейские университеты используют Linux на суперкомпьютерах «из за отсутствия денег, да и попросту „по традиции“») — ва-а-а-ще по барабану.

                                                                  А уж про оторванность от реальности — за это отдельное спасибо. Брать статистику 5-летней давности и делать на её основании выводы о состоянии дел в настоящем — на это особый талант нужен.

                                                                  P.S.: кстати, а у вас в ИЕ спеллчекер не работает, что ли?
                                                        0
                                                        RedHat вообще говоря вскрыли ДВАЖДЫ.
                                                        Ну еще и Sony на своих серверах Linux держит.
                                                          +3
                                                          Дак это проблема не ос, а криворуких специалистов по безопасности. Вы о многих взломах в китае слышали? Все дело в том что у них на уровне правительства контролируются такие вещи как безопасность, если ты накосячил и не закрыл порты, к пример, тебя взъебут по самое не хочу и срок еще отвешают. Было бы в остальных странах так, никто бы х… й не забивал бы. Да взломы 100% был бы и сейчас в китае есть, но из гораздо меньше чем в остальных местах.
                                                            –3
                                                            Вы не в теме того что происходит в Китае.

                                                            Законодательство в Китае запрещает взламывать сервера на территории Китая, и наказания за нарушения этой статьи жесточайшие. Взлом серверов за пределами Китая не наказуем.

                                                            Надеюсь теперь вы понимаете почему внутри Китая ничего не ломают?

                                                            Ваши рассказы про криворуких админов имеют некоторый смысл. Первый раз Apache.org был взломан через уязвимость в ядре Linux патч для которой вышел за неделю до этого. Второй раз его взломали через уязвимости в Jira и атаку социальной инженерии.

                                                              +4
                                                              Думаю что больше не в теме вы, если я написал это значит не с воздуха взял. Имеется практика работы.
                                                                –2
                                                                Почитайте что ли про APT может откроете для себя что такае State sponsored hacker в применении к Китаю.

                                                                Судя по профилю вы работает в mail.ru неужели обеспечиваете безопасность своих сервисов в Китае?

                                                                А я работаю в компании которая таки сталкивается с реальными вещами в области безопасности и не только в Китае.
                                                                  +2
                                                                  Нет, я занимаюсь другими вещами. В компании 2к человек вы же не думаете что там 4 специалиста на всё? =)
                                                                  Мы, кстати, уже в нелепый троллинг перешли.

                                                                  PS: забавно когда на троллинг про юних и безопасность приходят меклософтовцы у которых на хайлоад серваках стоят никсы и при этом они утверждают что винда зе бест, а никсы говно.
                                                                    –2
                                                                    > PS: забавно когда на троллинг про юних и безопасность приходят меклософтовцы у которых на хайлоад серваках стоят никсы и при этом они утверждают что винда зе бест, а никсы говно.

                                                                    СКАЖИТЕ НАРКОТИКАМ НЕТ, иначе это бред так и будете всю жизнь повторять.

                                                                    У MS на высоконагруженных сайтах таких как Windows Update и microsoft.com используется IIS под Hyper-V.
                                                                      +1
                                                                      А что используется на bing.com? ;)
                                                                        0
                                                                        А что используется?
                                                                        Погуглил чуток. Единственное что нашел — это использование CDN Akamai для контента.
                                                                        Тамбнейлы к примеру генерятся на по странному урлу: ts.mm.bing.net/images/thumbnail.aspx
                                                                          0
                                                                            0
                                                                            И? Я выше уже написал, что используется Akamai для отдачи контента.
                                                                            Ну и да, если я на сервере уберу в хедерах упоминания об IIS, то сервер превратиться в Unknown Linux.
                                                                              0
                                                                              И туда автоматически пропишется «Apache»? %)
                                                                              www.networksolutions.com/whois-search/bing.com

                                                                              Да, кстати, Apache там не появляется сам по себе («если ничего другого не прописано, то это скорее всего Apache») — там полно результатов с «Unknown».
                                                                              0
                                                                              Netcraft не сподобился отличить Akamai от самого сайта microsoft.com и bing.com

                                                                              Двойка вам за подбор источников. Вот она опенсорсная пропаганда, растит мифы на ровном месте. :)
                                                                                0
                                                                                Так у них же эта Akamai на фронтенде, как её отличать-то технически? :-)

                                                                                А почему для хранения контента не используется IIS под Hyper-V? Ведь он используется у Microsoft для всех нагруженных проектов?
                                                                                  0
                                                                                  У MS есть ЦОД не в каждом регионе мира. В зависимости от региона порция контента отдаваемого напрямую из IIS и контента отдаваемого через CDN различается.

                                                                                  Затраты на траффик будут колосальные если все делать из своих ЦОД. Представьте как обеспечить передачу Windows Update например в регионы Африки и Ближнего востока.

                                                                                  Поэтому в качестве CDN используется Akamai т.к у него лучшее региональное проникновение.
                                                                                    +1
                                                                                    Остаётся один вопрос: почему ни один популярный CDN не построен на Windows.
                                                                                      0
                                                                                      Цены на Windows и бесплатный Linux посчитайте и этот банальный вопрос отпадет сам собой.

                                                                                      Бизнес модель на отдаче чужого трафика не особенно прибыльна. Значит деньгам там взяться не откуда.

                                                                                      Опять же задача довольно ограничена поэтому полноценный Windows Server там поднимать не выгодно.

                                                                                  0
                                                                                  >Netcraft не сподобился отличить Akamai от самого сайта microsoft.com и bing.com

                                                                                  Слово «Akamai» на странице встречается 9 раз. Действительно, «не сподобился отличить» %)

                                                                                  >Двойка вам за подбор источников.

                                                                                  Ну так поделитесь своими, с удовольствием гляну в источник, заслуживающий доверия.

                                                                                  >Вот она опенсорсная пропаганда, растит мифы на ровном месте. :)

                                                                                  Ну уж куда лучше, чем подтасовывая факты, растить мифы о том, что «на IIS работает большинство Fortune 1000 компаний» %)
                                                                              0
                                                                              MS Online Services использует IIS. Так же для кеширования и раздачи статики может использоваться Akamai.
                                                                                0
                                                                                Раз вы так любите требовать «ссылки с подтверждением указанных вами фактов», то будьте добры, сделайте то же самое — так, чисто «для порядка».
                                                                            0
                                                                            у мс'а сейчас везде винды с IIS'ом
                                                                            0
                                                                            APT is bullshit.
                                                                              0
                                                                              Вы про то что APT — bullshit расскажите Google, RSA, Sony и прочим крупнейшим компаниям подвергшимся этой угрозе. Они наверно не в курсе. Ясно ведь что они все ошибаются, а вы правы.

                                                                              Может вас тогда туда возьмут поработать и научить всю индустрию уму разуму.

                                                                                0
                                                                                Забавно. Что здесь, что в более раннем обсуждении на RISSPA аргументы сторонников APT свелись к тому, что тех, кто считает APT баззвордом, не возьмут работать в Google. При этом ни один из этих сторонников в Google не работает, а противники — так, шелуха, пара CISO филиалов крупных международных банков и человек со степенью PhD в информационной безопасности.

                                                                                Вы, кстати, в той дискуссии ничего по делу так и не сказали.
                                                                                  0
                                                                                  А зачем с ними спорить? APT актуален для компаний уровня MS, Google, RSA и прочих крупных. Или для тех у кого есть интересная интеллектуальная собственность.

                                                                                  Не так давно RISSPA устраивала конференцию об этом. Большинство сошлось во мнении что APT не существует. Хорошо, подождем посмотрим.

                                                                                  А мне про APT очень даже есть что рассказать. Предложил RISSPA свой доклад. Они думают.
                                                                                    +2
                                                                                    Да вот же вам, взлом kernel.org. Стоило там появиться уязвимости, как сервис тут же был скомпрометирован. Это ли не означает существенную (advanced) и непрерывную (persistent) угрозу, согласно любому определению? Значит, APT есть не только у крупных компаний?

                                                                                    А суть в том, что для того, чтобы обосновать существенность APT, необходимо привести пример меры безопасности, которую необходимо принимать только в случае APT и не нужно, если APT нет. И вот этого примера до сего дня ни одному человеку придумать не удалось, поскольку все уважающие себя специалисты по информационной безопасности уже десятилетия живут так, будто угроза нападения является advanced и persistent.
                                                                                      –2
                                                                                      Как я уже писал APT может угрожать компании имеющей интересную интелектуальную собственность. Так же атака может быть проведена с целью получения платцдарма.

                                                                                      В случае RSA это криптоалгоритмы и возможность атаковать крупнейших потредителей продукции RSA.

                                                                                      В случае kernel.org это потенциальная возможность собрать пароли, ключи и если получится внедрить код в репозиторий.

                                                                                      Для мелких компаний apt не релевантен. Их и без advanced persistent взламывают.
                                                                                        +2
                                                                                        Вы меня, кажется, не слышите. Я повторю.

                                                                                        Для того, чтобы обосновать существенность APT, необходимо привести пример меры безопасности, которую необходимо принимать только в случае APT и не нужно, если APT нет. Вы можете привести пример такой меры безопасности?
                                                                                          –2
                                                                                          APT не является новым видом атаки это лишь изменение в интенсивности и сложности атак.

                                                                                          Если раньше вашу организацию ломало 2 самоучки, которые попробовав типовые инструменты и выполнив несколько трюков не добивались успеха и уходили ломать кого то другого, то теперь есть организации которые будут ломать круглыми сутками. Будут применять всё от социальной инженерии до новейших неизвестных уязвимостей. Причем применять это раз за разом, методично хоть и медленно двигаясь к своей цели.

                                                                                          То есть APT и обычная активность злоумышленников различаются как школьники и слаженная организация с руководителями проектов, исполнителями и глубокими специалистами в узких областях. Ресурсы организации которая осуществляет APT просто не сравнимы с ресурсами обычных злоумышленников.

                                                                                          В случае APT вопрос взлома стоит не «если», а «когда». А значит нужно все время думать о минимизации ущерба от атак такого рода.

                                                                                          Никаких особенных средств для защиты от APT нет и скорее всего не будет.
                                                                                            +1
                                                                                            А в отсутствие APT о минимизации ущерба думать, что, не надо? Это ваше личное мнение или политика компании Microsoft?
                                                                      0
                                                                      Делаем выводы. www.microsoft.com/en-us/openness/default.aspx — крупный опенсорс вендор, значит, его скоро вынесут.
                                                                        –1
                                                                        Годами пытаются взломать MS, но что то не выходит. Видно дело не опенсорс лицензиях, а в наличие методов безопасной разработки и тестирования кода, таких как SDL, которой у других скорее всего нет.

                                                                        Ну и конечно есть админы которые знаю свое дело, в отличии от админов kernel.org.
                                                                          +1
                                                                          Я бы для начала сравнил бюджет на системное администрирование kernel.org и microsoft.com. Есть цифры?

                                                                          А то как-то пока так получается, что пара бородатых админов на протяжении десяти лет удерживала kernel.org от страшного даже для крупных компаний APT за считанные копейки.
                                                                            –2
                                                                            А может дело не в бюджете?

                                                                            Удерживали в стабильном состоянии потому как интереса их ломать не было? А теперь с увеличением доли Linux на мировом рынке злоумышленникам стало интересно их ломать? Нарастание взломов apache.org и просих опенсорс вендоров как раз указывает на увеличение интереса.

                                                                            И тут миф об неуязвимости Linux c треском лопается. Ведь в в любой дискуссии с любителем Linux обязательно всплывает миф о том что эта ОС безопасна по умолчанию и не нужно доп. вложений чтобы быть защищенным, мифическое сообщество о вас уже позаботилось. :)

                                                                            Отсюда и проблема с большим количеством уязвимостей, ибо все верят что раз код открыт значит безопасен. И обязательно найдется тот кто потратит свое время и проверит его. Как показывает практика постулат «миллиона глаз» не работает.
                                                                              +1
                                                                              «А может быть, critical уязвимость не эксплоитабельна?»
                                                                              «А может их пока никто серьёзно не ломал?»
                                                                              «А может дело не в бюджете?»

                                                                              Слишком много необоснованных предположений для специалиста по информационной безопасности и сотрудника Microsoft. Может быть, это из-за того, что ваше знание информационной безопасности заключается в гадании на кофейной гуще?

                                                                              Побрейтесь бритвой Оккама, а потом приходите.
                                                                                +1
                                                                                «А может» он такой же специалист по безопасности, как я — балерина? %)
                                                                    +21
                                                                    >Ведь проще объявить ОС безопасной, чем действительно сделать ее такой.

                                                                    кроме безопасности самой ОС, еще бывает безопасность конкретной инсталяции. впрочем это слишком сложно и скучно для тролления на хабрике.
                                                                      –1
                                                                      Ну да, речь то всего лишь идет о компетентных (наверное самых компетентных, которых вообще можно найти в линукс мире) админах, mission critical серваке, на котором крутится минимум служб. Скукота.

                                                                      Вот когда какой нибудь винлокер пользователи себе сами ставят (еще и лицензию принимают, которая подробно описывает что произойдет) — это да. Это стоит подробно обсудить.
                                                                        +4
                                                                        >Скукота

                                                                        скажите, а что тут обсуждать? новость «кернельорг заражон» лично для меня не несет никакой полезной информации. ну совсем никакой.

                                                                        плясать ритуальный казацкий танец фапа вприсядку и устраивать панику на ровном месте, снося это решето со всех машин я не собираюсь.

                                                                        факт наличия дыр в ОС меня никак не удивляет.
                                                                        факт отсутствия TPM и IDS на kernel.org тоже никак не удивляет и честно слабо колышет. я как-то не уверен в возможности применения IDS на таком хайлоаеде.

                                                                        мне из этой истории интересно только две вещи: какова причина взлома (дыра в ПО, проблема настройки хоста, утечка ключей, троллинг админов) и как это учтут в будущем (рекомендации по настройке сервера). обоих вещей пока неизвестно.
                                                                          0
                                                                          Всё норм, согласен, только «обеих», а не «обоих».
                                                                +2
                                                                Плохо что скомпрометированы цифровые подписи авторов (троян был найден на личном железе), как минимум это серьезно отвлекает от основных задач.
                                                                0
                                                                на машине одного из разработчиков ядра H Peter Anvin
                                                                Он президент. kernel.org/nonprofit.html
                                                                  +16
                                                                  Что не мешает ему быть разработчиком.
                                                                  +5
                                                                  Shit happens
                                                                    +7
                                                                    X Window*. Простите.
                                                                      0
                                                                      Спасибо, подправил.
                                                                      –1
                                                                      А как попал троян на машину? Как вообще проправить rc3.d на машине жертвы?

                                                                      Человеческий фактор детектед!
                                                                        +3
                                                                        Видимо кто то считает что имел место 0day exploit?
                                                                        –16
                                                                        Ну, кто там говорил, что под Linux троянов и вирусов не может быть в принципе?
                                                                          +3
                                                                          Вобще червь Морриса был под Unix.

                                                                          Вирусы в принципе возможны, но время жизни у них месяц — два, никто и не заморачивается

                                                                          Трояны вообще рабочая лошадка, все руткиты трояны по определению.
                                                                            –6
                                                                            Когда был червь Морриса — не было ни Linux, ни Windows :)

                                                                            А топик показывает, что написать вредоносное ПО можно под любую ось — вопрос в заинтересованности вирмейкеров. Да, играет свою роль то, что с никсоподобными системами обычно работают более-менее продвинутые пользователи в отличие от виндов, где могут быть и админы и домохозяйки.

                                                                            Минусяторы наверное не заметили тег [irony]?
                                                                              +5
                                                                              > А топик показывает, что написать вредоносное ПО можно под любую ось
                                                                              Это даже показывать не надо, это просто очевидно. Грубо говоря, если есть компилятор под платформу/ОС — можно написать вредоносный код.
                                                                                +6
                                                                                <зануда_мод>даже компилятор не нужен</зануда_мод>
                                                                                  –1
                                                                                  Это для нас с вами очевидно, а 95% фанатов бьют пяткой в грудь с криками «Под линукс вирусов быть не может потому что их не может быть в принципе!».
                                                                                    –3
                                                                                    Беда еще и в том, что в случае «венды глючной» при попытке скачать «крякер интернета, без SMS, без регистрации!!!» у 10% юзеров может хоть какие-то подозрения, перед тем как «скачать и запустить» зашевелятся, а в оставшихся 87% сработает хоть какой-то антивирус, а у линуксфагов — нет ни того, ни другого.
                                                                                    Помнится в прошлом году сравнительно массово сажали трояны на Маки под видом «кодека для видео», и тут уже один шаг до линуксов.
                                                                                      +3
                                                                                      >а у линуксфагов — нет ни того, ни другого.

                                                                                      зато нас есть адская технология md5 + gpg.

                                                                                      >Помнится в прошлом году сравнительно массово сажали трояны на Маки под видом «кодека для видео», и тут уже один шаг до линуксов.

                                                                                      дейстивительно, линуксоиды только и делают, что ставят неподписанный софт из левых источников.
                                                                                      –1
                                                                                      А остальные 5% фанатов уже пропатчились патчем Бирмана и молчат =) Жаль, что так мал охват патча, конечно, но что поделаешь… =)
                                                                                    +1
                                                                                    >А топик показывает, что написать вредоносное ПО можно под любую ось

                                                                                    hay hay kapitan!

                                                                                    вопрос о возможности внедрить вредоносный код,
                                                                                      0
                                                                                      Человеческий фактор универсален. Чем больше «домохозяек» пользуются Линуксом, тем больше утверждения «под Линуксов вирусов нет» (если не рассматривать их с точки зрения булевой логики) будут неверны. Ну и даже «гуру безопасности линуксов» ошибаются.
                                                                                        0
                                                                                        Виусы бывают даже под МК-61.

                                                                                        Меня лично чужая судьба вообще не заботит, если баба Нюра схватила трояна, то архитектура, под которой трояна она схватила мне не важна так же, как и баба Нюра, если, конечно, баба Нюра не мейнтейнер моего Дистрибутива.

                                                                                        Дураки и дороги будут всегда. Вирусы никуда не денутся.
                                                                                        –1
                                                                                        Внедрить его можно через незакрытую уязвимость в ядре. Или можно использовать цепочку уязвимостей для поднятия привилегий.

                                                                                        На данный момент в ядре Linux ветки 2.6 есть 6% не закрытых уязвимостей.

                                                                                        secunia.com/advisories/product/2719/

                                                                                        Так что распространение вредоноса под Linux дело вролне осуществимое. Вопрос лишь в заинтересованности атакующего.
                                                                                          0
                                                                                          В Linux дыры просто закрываются работой конкретных людей, а в MSFT бюджетами пиар отдела.
                                                                                            +1
                                                                                            Насмешили до слез. Ежемесячно обновления для всех продуктов MS выходят.

                                                                                            Как же так вышло что в ядре Linux 2.6 — 596 уязвимостей из которых до сих пор 6% незакрыто? Это ведь даже не ОС я всего лишь ядро.

                                                                                            secunia.com/advisories/product/2719/

                                                                                            Конкретные люди притомились патчи писать? Или может никогда не умели нормально код писать?

                                                                                            А у целой ОС Windows Server 2008 -всего 299 уязвимостей. Почти в 2 раза меньше уязвимостей чем в ядре Linux. Размер кода несопоставим. И только 3% этих уязвимостей еще не исправлены.

                                                                                            secunia.com/advisories/product/18255/

                                                                                            Выходит у Linux пиар вместо реальных дел?

                                                                                            А самое интересное что если честно сравнить, то нужно брать не просто голое ядро Linux, а полноценный дистрибутив вроде RedHat. И тут картина совсем грустная выходит.

                                                                                            В RHEL5 найдено 1570 уязвимостей, что в 5 раз превышает количество уязвимостей в Windows Server 2008.

                                                                                            Все еще хотите спорить у кого код лучше и кто быстрее исправляет уязвимости?
                                                                                              +2
                                                                                              Вы о каких ошибках говорите? Тех которые в коммерческой ротации у кардеров, писателей троянов?

                                                                                              По ссылкам:

                                                                                              — Windows 2008: The most severe unpatched Secunia advisory affecting Microsoft Windows Server 2008, with all vendor patches applied, is rated Highly critical.
                                                                                              — Linux: The most severe unpatched Secunia advisory affecting Linux Kernel 2.6.x, with all vendor patches applied, is rated Less critical.

                                                                                              То есть вы тут сидите пишете какую-то хрень вместо того чтобы закрывать критические дыры?
                                                                                                –2
                                                                                                А вам в голову не приходило что уязвимость которая critical может быть не эксплоитабельна? Или для ее эксплуатации моожет требоваться локальный доступ?

                                                                                                Так например было в случае с уязвимостью Hyper-V. Чтобы ее эксплуатировать нужны были права локального администратора. Да уязвимость критичная, но бесполезная ибо если вы админ то вас уже ничто не остановит.

                                                                                                Где же ваши комментарии по качеству кода? Или в 2 раза больше уязвимостей в ядре Linux это не важно?
                                                                                                  +2
                                                                                                  1. А у вас есть материалы, доказывающие, что текущая критическая неисправленная уязвимость в Windows Server 2008 именно не эксплуатируема удалённо? И есть ли у вас материалы, доказывающие, что уязвимости в Linux именно эксплуатируемы удалённо? А то «может быть», «не может быть», это гадание на кофейной гуще.

                                                                                                  2. Так у вас есть замечания по качеству кода Linux?
                                                                                                    –2
                                                                                                    Замечения таки остались, если нечто малое по размеру по уязвимостям превышает нечто большее, значит код пишут плохо и не проверяют.

                                                                                                    Отсюда вывод что опенсорсу пора бы завести свой собственный SDL а не рассказывать сказки, про то что они делают больше ошибок зато исправляют их быстрее. Глядишь изначальное качество кода улучшилось бы.

                                                                                                    Вы подумайте об энтерпрайз админе, у него есть и другие дела кроме как патчить системы и тестировать изменения.

                                                                                                    Отсюда следует постулат что система с меньшим набором уязвимостей лучше.

                                                                                                      0
                                                                                                      >Отсюда следует постулат что система с меньшим набором уязвимостей лучше.

                                                                                                      Отвлечённый пример: у одной системы 1 удалённая уязвимость, не закрытая вот уже более 10 месяцев, уровень критичности — 4 из 5, у другой — 5 уязвимостей уровня с максимальным уровнем критичности 2 из 5.

                                                                                                      «Специалист по информационной безопасности» выдвигает постулат, что первая система — безопаснее.

                                                                                                      Спасибо, это просто шикарно!
                                                                                                        –1
                                                                                                        Разберитесь с вероятностью экспрлоитабельности и тогда может поймете что у уязвимостей есть рейтинг и их исправляют по очереди.

                                                                                                        Так же если перестанете передергивать мои слова может до вас дойдет что я говорю о том что опенсорсу нужна методика иначе так и будет лидировать по количеству уязвимостей.

                                                                                                        А фанатство с криками зато исправляем быстрее и они у нас не критические выглядит глупо.

                                                                                                        Может лучше начать код писать и тестировать качественнее?
                                                                                                          +1
                                                                                                          >Разберитесь с вероятностью экспрлоитабельности и тогда может поймете что у уязвимостей есть рейтинг и их исправляют по очереди.

                                                                                                          А мне-то чего разбираться? Это же не я выдвигаю слепые постулаты «система с меньшим набором уязвимостей лучше», которые не учитывают не только эксплоитабельность, но даже уровень критичности.

                                                                                                          >А фанатство с криками зато исправляем быстрее и они у нас не критические выглядит глупо.

                                                                                                          Фанатство с криками «меньше уязвимостей — значит безопаснее» без учёта опасности каждой из уязвимостей — ещё более глупо. А из уст «специалиста по информационной безопасности» — вообще по-идиотски.
                                                                                                    0
                                                                                                    >А вам в голову не приходило что уязвимость которая critical может быть не эксплоитабельна? Или для ее эксплуатации моожет требоваться локальный доступ?

                                                                                                    А то, что подавляющее большинство приведённых вами незакрытых уязвимостей в Linux 2.6 угрожают не получением прав, а DoS-ом, причём могут быть использованы как раз таки локально или из локальной сети — это вам в голову не приходило? %)
                                                                                                      –2
                                                                                                      Вы радуете все больше.

                                                                                                      Признаете что уязвимостей в Linux больше зато и они не критические потому что могут привести к DoS. А вам не приходило в голову что одной и категорий инфобезопасности является отказоустойчивость? Так же не думалили ли вы о том что уязвимости можно использовать цепочкой?

                                                                                                      И при этом веруете что система в которой больше уязвимостей безопаснее чем так в которой меньше. Опенсорсная логика однако.
                                                                                                        +1
                                                                                                        >Признаете что уязвимостей в Linux больше зато и они не критические потому что могут привести к DoS.

                                                                                                        Извините, но я начинаю подозревать, что у вас серьёзные проблемы с восприятием написанного.

                                                                                                        Они «не критические» не потому, что могут привести к DoS, а потому, что они в большинстве своём локальны. Скажите, вы не заметили эту деталь в моём сообщении или просто пропустили её, посчитав незначительной? А может вы попросту не знаете её значение?

                                                                                                        >И при этом веруете что система в которой больше уязвимостей безопаснее чем так в которой меньше.

                                                                                                        Либо ссылку на то, где я это утверждаю, либо вы — мудак, перевирающий слова.

                                                                                                        Кстати, у вас может получиться неплохой диалог с самим собой:
                                                                                                        — А вам в голову не приходило что уязвимость которая critical может быть не эксплоитабельна? Или для ее эксплуатации моожет требоваться локальный доступ?
                                                                                                        — Не думалили ли вы о том что уязвимости можно использовать цепочкой?
                                                                                                          0
                                                                                                          Ссылки, как я погляжу, не последовало. Что и требовалось доказать.
                                                                                                      +1
                                                                                                      >А вам в голову не приходило что уязвимость которая critical может быть не эксплоитабельна? Или для ее эксплуатации моожет требоваться локальный доступ?

                                                                                                      Не могу отказать себе в удовольствии ответить на это ещё раз. Почему? Потому что я не поленился и прошерстил все незакрытые уязвимости Linux 2.6.*. Да, все те 6%, или 17 штук в абсолютных числах. Небезынтересная статистика: 4 из них могут быть использованы из локальной сети, остальные 13 — исключительно локально.

                                                                                                      У Windows Server 2008, напоминаю, 2 локальные и 2 удалённые незакрытые уязвимости.

                                                                                                      С удовольствием перечитываю ваш постулат о том, что «система с меньшим набором уязвимостей лучше»… %)
                                                                                                    0
                                                                                                    Давайте поспорим: вы выкладываете в общедоступный репозиторий исходный код Windows Server 2008, а мы за неделю находим в нём в 5 раз больше уязвимостей, чем сейчас есть в RHEL5.

                                                                                                    Вообще, знаете, кхм, говорить — не мешки ворочать. Вы утверждаете, что в Linux плохой код? Nice, so put your code where your mouth is. Весь исходный код открытый. Найдите и принесите сюда пример плохого кода, а мы посмотрим.
                                                                                                      +3
                                                                                                      Зажигаете однако. Исходники ядра Windows доступны для изучения любому жела.щему свободно.

                                                                                                      Если вы этого не знали значит вы вообще не в курсе того что происходит в сфере ИБ.

                                                                                                      Кстати, а на английском вы пишите просто чтобы круче казаться? Я не сомневаюсь что вы можете читать на английском, но может будете свои мысли писать а не чьи то штампы цитировать?

                                                                                                      Вы верите в миф созданный Эриком Реймондом в статье «Собор и базар», что открытость кода поможет его отладке. Как насчет того случая когда в FreeBSD и Solaris нашли ошибку которая лежала на самом видном месте 20 лет? Как показывает практика доступность опенсорсного кода не делает его лучше, ибо для проверки нужны специалисты а он бесплатно проверять код не будут.

                                                                                                      Вот вам свежий пример. Образцы кода ReactOS

                                                                                                      habrahabr.ru/blogs/os/127493/

                                                                                                        +1
                                                                                                        Господи, какой же вы толстый.

                                                                                                        > если честно сравнить, то нужно брать не просто голое ядро Linux, а полноценный дистрибутив вроде RedHat
                                                                                                        > Исходники ядра Windows доступны для изучения любому жела.щему свободно.

                                                                                                        lurkmore.ru/Взаимоисключающие_параграфы

                                                                                                        К слову, вот это — www.microsoft.com/resources/sharedsource/licensing/basics/wrklicense.mspx — это не «свободно». Это кабальная лицензия.

                                                                                                        > Как насчет того случая когда в FreeBSD и Solaris нашли
                                                                                                        > ошибку которая лежала на самом видном месте 20 лет?

                                                                                                        И без всяких Эриков Реймондов очевидно, что чем больше народу смотрит на код, тем больше вероятность, что ошибка будет найдена.

                                                                                                        На практике вы подменяете тезис «открытость кода поможет его отладке» тезисом «открытость кода поможет ликвидировать 100% багов в кратчайшее время». Первый тезис вы не опровергли, а второй никем, кроме вас, не выдвигался.

                                                                                                        Про ReactOS вы заговорили очень зря. Это масштабный проект, в котором разработчиков участвует — полтора инвалида, и он скорее показательно иллюстрирует, что бывает с базой исходного кода ОС, в которую смотрит только небольшая группа разработчиков. Т. е. ReactOS скорее моделирует Windows, нежели Linux и FreeBSD.
                                                                                                          0
                                                                                                          Вы смешиваете два понятия, народ который смотрит код и народ достаточно квалифицированный чтобы понять код, найти ошибку и сиправить её.

                                                                                                          Люди способные к исправлению ошибок а особенно ошибок в безопасности, немногочислены и весьма высокооплачиваемы. А значи скорее всего бесплатно работать не будут.

                                                                                                          Отсюда вывод что толпа смотрящая на исходники не имеет никакого значения ибо число специалистов в ней мало. Вы ведь не будете рассказывать что все опенсорс фанаты специалисты по безопасности или что в этой группе процент специалистов по безопасности аномально высок?

                                                                                                          Как показывает пример ReactOS, разработчики там не профессионалы и большинство их ошибок находит простейший статический анализатор. Если проект такой масштабный как вы его назвали, где же эксперты по безопасности, бесплатно проверяющие качество кода? Выходит ваша модель миллиона глаз смотрящего а открытым кодом не работает.
                                                                                                          +1
                                                                                                          Я, между прочим, анализ безопасности открытой части ядра, исходя из лицензии, проводить не могу:

                                                                                                          5. Microsoft welcomes your comments and suggestions on the source code, which you provide on a strictly voluntary basis. If you give Microsoft comments and suggestions regarding bug fixes, enhancements or other modifications to the source code, you agree that Microsoft may, in connection with Microsoft products and services use, disclose or otherwise commercialize your comments and suggestions entirely without any obligation or restriction based on intellectual property rights or otherwise. You will not give any comments or suggestions that you have reason to believe are subject to any patent, copyright, or other intellectual property claim or right of any third party.

                                                                                                          9. You will not use the software to aid the development of any software programs that are designed to:

                                                                                                          (a) harm or intentionally interfere with the operation of a computer system including any data or information stored on such computer system; and/or

                                                                                                          (b) surreptitiously gain or maintain high level access to a computer system, self-propagate, and/or execute in a manner that prevents detection, including but not limited to, so-called «rootkit» software programs, viruses, or worms.
                                                                                                            0
                                                                                                            То что вы выделили касается патентных исков и не несет в себе запрета на исследование безопасности и публикацию находок.

                                                                                                            У Microsoft есть программа по которой исследователи могут сообщать об обнаруженных уязвимостях и эксплоитах. В тоже время многие просто публикуют уязвимости в блогах и представляете ничего страшного с этими людьми не происходит и в суд их никто не тащит.

                                                                                                            Мы никоим образом не ограничиваем их право публиковать свои находки, а лишь просим сначала сообщать нам и дать время на исправление уязвимости.

                                                                                                            Это стандартная практика в ИТ индустрии. Мы называем ее скоординированным раскрытием уязвимостей.

                                                                                                            blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx
                                                                                                        0
                                                                                                        Вы уверены, что все уязвимости, которые используют действующие вирусы, раскрыты?
                                                                                                          +1
                                                                                                          Почитайте Security Intelegence Report. Там есть статистика собираемая с 600 миллионов машин обслуживаемых продуктами безопасности Microsoft, такими как Forefront, MSE и прочими.

                                                                                                          Эта статистика наглядно показывает что 9 из 10 самых распространенных вирусов не использут уязвимостей при распространении. Все они распространяются путем атак социальной инженериии.

                                                                                                          Десятый распространенный вирус это Conficker. С этим зловредом ситуация тоже весьма интересная. После обнаружения уязвимости было создано обновление которое злоумышленники подвергли реверс инжинирингу и только после 3-х месяцев с момента выхода обновления появился код заражающий системы. То есть сейчас Conficker заражает тех кто не удосужился обновиться за те несколько лет что прошли с момента выхода заплатки. А при учете того что Conficker появился в 2008 году и заражает не обновленные системы и по сей день можно говорить о крайнем непрофессионализме множества людей.
                                                                                                          0
                                                                                                          >>> А у целой ОС Windows Server 2008 -всего 299 уязвимостей
                                                                                                          Да ну, прям таки все уязвимости понаходили? Слабо что-то верится.
                                                                                                            0
                                                                                                            Специально взяли старую 5-ю версию RHEL, а не 6-ю?
                                                                                                            secunia.com/advisories/product/32988/ — Unpatched 0% (0 of 142 Secunia advisories)
                                                                                                              0
                                                                                                              Для честного сравнения надо брать ОС примерно одного времени выпуска.

                                                                                                              Windows Server 2008 был выпущен 27 февраля 2008 а Red Hat Enterprise Linux 5 вышел 15 марта 2007. Итого имеем разницу в 1 год. Так что сравнение вполне корректное.

                                                                                                              И почему то выходит что уязвимостей в RHEL 5 получается в 5 раз больше чем в Windows Server? Разница в один год по возрасту не объясняет такой огромной разницы по уязвимостям.

                                                                                                              В RHEL 6 вышел 10 декабря 2010 и уже нашли уязвимостей 484 уязвимостей всего то за 10 месяцев.

                                                                                                              secunia.com/advisories/product/32988/

                                                                                                              Качество кода поражает воображение. RedHat пишет быстро, грязно и постоянно затыкает дыры. Отличный поставщик ИТ решений. Настоящая опенсорс безопасность.

                                                                                                                +1
                                                                                                                >Для честного сравнения надо брать ОС примерно одного времени выпуска.

                                                                                                                Для честного сравнения надо брать последние версии ОС. То, что какая-то компания не может разродиться очередным мажорным апдейтом — это исключительно её собственные проблемы (вернее, её клиентов).
                                                                                                                Клиенты же «более другой» компании уже давно имеют в своём распоряжении новую версию, не имеющую незакрытых дыр.

                                                                                                                >RedHat пишет быстро, грязно и постоянно затыкает дыры. Отличный поставщик ИТ решений. Настоящая опенсорс безопасность.

                                                                                                                Правильно! Настоящая безпасность — это когда уязвимости, угрожающие удалённым доступом, висят месяцами:
                                                                                                                1. secunia.com/advisories/41984/ (от 28 октября 2010 года, Moderately critical)
                                                                                                                2. secunia.com/advisories/41874/ (от 18 октября 2010 года, Highly critical)
                                                                                                                  0
                                                                                                                  > Для честного сравнения надо брать последние версии ОС. То, что какая-то компания не может разродиться очередным мажорным апдейтом — это исключительно её собственные проблемы (вернее, её клиентов).

                                                                                                                  Вот уж посмешили. Завтра MS выпустит новую ОС и скажет что она абсолютно безопасна ибо в ней не найдено ошибок. И следуя вашей логике будет права. А то что ОС никто еще не тестировал это не важно, вам ведь самое новое подавай. Надеюсь вы осознали какую глупость только что сморозили.

                                                                                                                  Читайте приведенные адвайзери и наконец включите мозг. Нет там уязвимости с удаленным исполнением кода.Специально для таких как вы я выделил важное:

                                                                                                                  This can be exploited to load arbitrary resources by tricking a user into opening a file located on a remote WebDAV or SMB share with certain applications.


                                                                                                                  This can be exploited to load arbitrary libraries by tricking a user into e.g. opening CAMP, CDMP, GMMP, or ICC Profile (.icm and .icc) files located on a remote WebDAV or SMB share.


                                                                                                                  Перевожу для вас ибо вы видать английский не осилили. Нужно заставить пользователя открыть файл лежаший на удаленном хранилище определенным приложением.

                                                                                                                  Где тут удаленная уязвимость с исполнением кода?

                                                                                                                  Опять опозорились эксперт вы наш опенсорсный. Читали бы факты перед тем как их приводить.

                                                                                                                    0
                                                                                                                    >Завтра MS выпустит новую ОС и скажет что она абсолютно безопасна ибо в ней не найдено ошибок. И следуя вашей логике будет права.

                                                                                                                    На тот момент — да, будет права (если мерилом безопасности брать количество уязвимостей, перечисленных на Secunia).
                                                                                                                    Но RHEL6 вышел не вчера.

                                                                                                                    >Читайте приведенные адвайзери и наконец включите мозг. Нет там уязвимости с удаленным исполнением кода.

                                                                                                                    Вы, видать и русский не особо осилили. Где хоть слово про «удалённое исполнение кода» в моём сообщении? Там есть про «удалённый доступ». Или для вас это одно и то же?
                                                                                                                    На всякий случай:
                                                                                                                    Impact: System access
                                                                                                                    Where: From remote


                                                                                                                    >Опять опозорились эксперт вы наш опенсорсный.

                                                                                                                    «Опять»? А где был предыдущий раз? Там, где вы, как и в этот раз, выдали свои фантазии за мои слова? Ну так а почему при этом опозорился я? %)

                                                                                                                    >Читали бы факты перед тем как их приводить.

                                                                                                                    Читали бы посты, на которые отвечаете, перед тем, как спорить с собственными фантазиями.
                                                                                                                      0
                                                                                                                      Раскройте как мне тайну, расскажите что такое уязвимости угрожающие удаленным доступом?

                                                                                                                      Вам не приходило в голову что то что вы пишете это стандартная социальная инженерия? Привести пользователя и заставить открыть файл чтобы ЛОКАЛЬНОЕ ПРИЛОЖЕНИЕ выполнило код. С таким же успехом можно и в домашнюю директорию подложить DLL. Где здесь удаленность?

                                                                                                                      Зачем новый термин изобретать пытаетесь?

                                                                                                                        0
                                                                                                                        >Вам не приходило в голову что то что вы пишете это стандартная социальная инженерия?

                                                                                                                        Я смотрю, это ваш любимый тип вопросов, на который вы сами, впрочем, не любите отвечать. Скажите, а вот вам не приходило в голову, что взломы kernel.org, linux.com и прочие — это та же самая «стандартная социальная инженерия»? Или у вас есть конкретные данные, говорящие о противоположном, на основании которых вы тут пляшете «вот она, хвалёная опенсорс-безопасность»?

                                                                                                                        >Привести пользователя и заставить открыть файл чтобы ЛОКАЛЬНОЕ ПРИЛОЖЕНИЕ выполнило код. С таким же успехом можно и в домашнюю директорию подложить DLL. Где здесь удаленность?

                                                                                                                        С таким же успехом? Т.е. по-вашему это вещи одного порядка? Ой бляяяя…
                                                                                                                          0
                                                                                                                          Вы изучите что ли как работает переменная path под windows и как получается подмена библиотек. Большинство пользователей держит папки расшаренные через сеть так что DLL можно подсунуть и туда.

                                                                                                                          Вы что то не рассказали мне что же такое уязвимость с угрозой удаленного доступа.

                                                                                                                          Как разберетесь с этими вопросами пойдите помойте рот. Культурный вы наш. А то блякать в интеренете вы смелы.
                                                                                                                            0
                                                                                                                            >Вы изучите что ли как работает переменная path под windows и как получается подмена библиотек. Большинство пользователей держит папки расшаренные через сеть так что DLL можно подсунуть и туда.

                                                                                                                            А-а-а, то есть мы будем ориентироваться на идиотов, держащих «C:» расшаренным на полный доступ? Ну или хотя бы каталоги с exe-шниками с правами на запись?
                                                                                                                            Или же вы хотите рассказать мне, как подменить DLL и поправить path не имея доступа к системе?

                                                                                                                            >Вы что то не рассказали мне что же такое уязвимость с угрозой удаленного доступа.

                                                                                                                            Вы оставили без ответа с полдесятка моих вопросов, однако настаиваете, чтобы я в свою очередь отвечал на каждый ваш вопрос? Скажите, у вас это врождённое качество или этому учат на курсах MS? %)
                                                                                                                            –2
                                                                                                                            > Скажите, а вот вам не приходило в голову, что взломы kernel.org, linux.com и прочие — это та же самая «стандартная социальная инженерия»? Или у вас есть конкретные данные, говорящие о противоположном, на основании которых вы тут пляшете «вот она, хвалёная опенсорс-безопасность»?

                                                                                                                            Изучайте от о чем собираетесь спорить. apache.org был взломан через уязвимость в ядре OpenSSH

                                                                                                                            www.apache.org/info/20010519-hack.html

                                                                                                                            Второй случай взлома apache.org связан с неправильной репликацией CGI скриптов

                                                                                                                            blogs.apache.org/infra/entry/apache_org_downtime_initial_report

                                                                                                                            Третий раз дефейс apache.org из за неправильной настройки

                                                                                                                            www.dataloss.nl/papers/how.defaced.apache.org.txt

                                                                                                                            Четвертый раз атака на cross site scripting www.theinquirer.net/inquirer/news/1601103/apache-hacked

                                                                                                                            И где тут социальные атаки компетентный вы наш?
                                                                                                                              +1
                                                                                                                              > Изучайте от о чем собираетесь спорить. apache.org был взломан через уязвимость в ядре OpenSSH
                                                                                                                              Вы сами-то хорошо изучили? Уязвимость в OpenSSH была использована уже локально для повышения привилегий:
                                                                                                                              After unsuccessfully attempting to get elevated privileges using an old installation of Bugzilla on apache.org, the cracker used a weakness in the ssh daemon (OpenSSH 2.2) to gain root privileges.

                                                                                                                              То есть изначально проникновение на сам сервер было осуществлено другим путём.

                                                                                                                              Также каким образом остальные 3 взлома связаны с «опенсорс-безопасностью»?

                                                                                                                              В общем, не позорьтесь. Вы ведь «Специалист по информационной безопасности», как никак.
                                                                                                                                +1
                                                                                                                                >То есть изначально проникновение на сам сервер было осуществлено другим путём.

                                                                                                                                Разумеется, другим:
                                                                                                                                Specifically: on May 17th, an Apache developer with a SourceForge account logged into a shell account at SourceForge, and then logged from there into his account at apache.org. The ssh client at SourceForge had been compromised to log outgoing names and passwords, so the cracker was thus able get a shell on apache.org.

                                                                                                                                Т.е. тупо отследили логин/пароль, с которыми потом успешно залогинились.
                                                                                                                                Но нашему «специалисту по безопасности» это всё, видимо, один хрен, иначе с чего бы он писал эту восхитительную чушь:
                                                                                                                                apache.org был взломан через уязвимость в ядре OpenSSH
                                                                                                                                0
                                                                                                                                А где тут linux.com и kernel.org, избирательный вы наш? Ещё раз говорю: читайте то, на что собираетесь отвечать.
                                                                                                                                Или вы под «последними взломами» подразумевали взлом apache.org десятилетней давности, а не недавние взломы kernel.org и linux.com?
                                                                                                                                А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.

                                                                                                                                Вот и предоставьте подтверждение тому, что «последние взломы» были осуществлены именно эксплуатацией уязвимости.
                                                                                                                  0
                                                                                                                  >Все еще хотите спорить у кого код лучше и кто быстрее исправляет уязвимости?

                                                                                                                  Фраза насчёт «кто быстрее исправляет уязвимости» смотрится просто шикарно в контексте двух удалённых уязвимостей в Windows Server 2008, опубликованных ещё в октябре прошлого года и не закрытых и по сей день %)
                                                                                                                    0
                                                                                                                    Эксплоитабельность у этих уязвимостей низкая. Вам это о чем нибудь говорит?
                                                                                                                      +1
                                                                                                                      У всех 17 уязвимостей Linux 2.6 эксплоитабельность из внешнего мира вообще нулевая, однако вас это не смутило и по-прежнему не смущает %)
                                                                                                                        0
                                                                                                                        Меня смущает качество кода когда в маленьком куске кода ядра Linux уязвимостей в разы больше чем в другом гораздо более объемном куске кода WS 2008. Это говорит о том откуда у разработчиков Linux растут руки. Или вечные обновления это и есть стиль опенсорса? А о том что для развертывания обновления нужно приостановить работу бизнес приложений вам идея в голову не пришла?

                                                                                                                        А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.
                                                                                                                          0
                                                                                                                          >А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.

                                                                                                                          Вообще-то эти «сказки» — прямой вывод из отчётов secunia.com (того источника, который вы же и привели). Это ведь они расставили метки «Local system» и «From local network», не я.
                                                                                                                          Или вы сомневаетесь в их квалификации? А чего тогда ссылаетесь на них?

                                                                                                                          К тому же я всё ещё жду от вас достоверного подтверждения тому, что взлом произошёл именно эксплуатацией уязвимости, а не банальной «социальщиной».
                                                                                                                          Потрудитесь предоставить, или ваша специальность — исключительно FUD, без каких-либо фактов?
                                                                                                                            0
                                                                                                                            > А при учете последних взломов еще и показатель того что рассказы про нулевую эксплоитабельность это все сказки.
                                                                                                                            Вы даже подробностей последних взломов не знаете и такое заявляете.
                                                                                                            +2
                                                                                                            >А топик показывает, что написать вредоносное ПО можно под любую ось

                                                                                                            Т.е. до появления данного топика вы этого не знали?
                                                                                                              –3
                                                                                                              Чукча писатель? Я выше написал, что для меня это очевидно, в отличие от 95% линуксфанатов.
                                                                                                                +3
                                                                                                                «Чукча-писатель» пусть посмотрит на комментарий, на который я отвечал.
                                                                                                                Когда «очевидно», тогда не пишут «топик показывает». Очевидные вещи в подтверждении не нуждаются, иначе бы они не назывались очевидными.
                                                                                                                — Капитан, не нуждающийся в представлении
                                                                                                          +5
                                                                                                          Не вирус, а целенаправленный взлом. Взлом конкретного сервера. Взлом конкретного сервера человеком. Неавтоматический взлом конкретного сервера. Как еще обьяснить?
                                                                                                            +2
                                                                                                            Неавтоматический взлом конкретно сервера, настроенного неавтоматическим человеком :)
                                                                                                              +1
                                                                                                              *конкретного
                                                                                                            +3
                                                                                                            Вы что-то путаете. Обычно говорят по факту, что в Linux почти отсутствуют вирусы, а не то, что их там не может быть в принципе. Тем более в данном случае был целенаправленный взлом.
                                                                                                              +1
                                                                                                              И добавляют «в силу малой распространенности и широкой разницы окружения»
                                                                                                            +2
                                                                                                            Ну ладно, а мне, простому пользователю Убунты, это чем-то грозит? Если да, то что делать?
                                                                                                              0
                                                                                                              Врядли :-)
                                                                                                                –3
                                                                                                                Я думаю для простого пользователя самый лучше ничего не делать. Если страдать паранойей, то воздержатся от обновлений ядра на то время, пока разработчики не скажут, что код перепроверен.
                                                                                                                  +6
                                                                                                                  сюрприз: ядро в убунте обновляеться не с kernel.org
                                                                                                                    –4
                                                                                                                    Хм, а у дебиана надеюсь с kernel.org?
                                                                                                                    А то будет как в том анекдоте про тумбочку и деньги
                                                                                                                      +5
                                                                                                                      У всех основных дистибутивов есть, как правило, свой мини форк ядра с дополнительными патчами.
                                                                                                                      Конечно раз в n-месяцев происходит синхронизация с kernel.org (плюс, ребейз всех своих патчей на новое ядро).
                                                                                                                  0
                                                                                                                  Если вы простой миллиардер с чемоданчиком с красной кнопкой, то думаю вам много чего угрожает, а пока вы Неуловимый Джо, шансы, что вами заинтересуются специалисты, довольно малы.
                                                                                                                    +13
                                                                                                                    >шансы, что вами заинтересуются специалисты, довольно малы.

                                                                                                                    это очень тухлая отмазка. прицельно направленная атака — это не единственный тип опасности.

                                                                                                                    можно прости сидеть с дырявым ядром и случайно стать частью ботнета из тысячь таких же неуловимых джо, каждый из которых никому нафиг не нужен.
                                                                                                                      +2
                                                                                                                      ну я даж не знаю сколько я имея широкий канал в инет смогу удержать себя от aptitude update/upgrade — это если проблемы в ядре
                                                                                                                      да и искать уязвимость, которая будет у массы джо, ну это надо хорошо постараться

                                                                                                                      и вообще наш зоопарк нас только и защищает — были бы мы однообразны и многочисленны…
                                                                                                                        +5
                                                                                                                        >и вообще наш зоопарк нас только и защищает — были бы мы однообразны и многочисленны…

                                                                                                                        зоопарк достаточно условен. статический бинарь, дергающий сисколы напрямую и прописанный в /etc/rc.local запустится на любой x86 системе.

                                                                                                                        подмена нейм резольвер, для отправки вас куда-то вместо настоящего вконтактика одинаково хорошо сработает во всех дистрибутивах и вы даже не догадаетесь посмотреть в /etc/nsswitch.conf, только в hosts загляните.
                                                                                                                          0
                                                                                                                          теперь буду смотреть :)
                                                                                                                  +5
                                                                                                                  теперь главная интрига — в каком из сервисов, торчащих наружу, была дыра или кто из имеющих туда рутовый доступ обиделся на очередную порцию троллинга Линуса.