Korejský mirror Mozilly infikován virem

Stale cekam na hlasku, ze nekdo zaviroval archiv se zdrojovymi kody ... :-). Jiste, je to mozne, ale zdrojovy kod je obtizneji citelny pro programy (vcetne viru) nez binarni program, proto by bylo velmi tezke napsat virus schopny napadnout rozumne velkou mnozinu programu ve zdrojovem tvaru - a jeste tezsi udelat to nenapadne.

Pokud se mezi pocitaci nebudou prenaset binarky, ale jen zdrojove kody, viry se budou sirit obtizneji ... budou muset pouzivat pro sireni sit.

V clanku se mluvi o pouziti principu "default permit" a duslednem pouzivani demilitarizovanych zon. Problem je v tom, ze "default permit" je casto interpretovana prilis doslova jako zakazani veskereho chovani, o kterem nevime jestli je spravne. Jiste, bezpecnost to zvysi, ale za cenu svobody (v dnesni dobe obvykly problem). Sit zabezpecena metodou default permit znamena nejen spoustu prace, aby slo vubec pracovat (zvlast v pripade, ze se zaroven v dane siti provadi vyvoj software), ale zaroven spolehlive zabranuje "obycejnym" uzivatelum, typicky univerzitnim studentum, v experimentovani s vlastnimi programy a tim i ve vyuce.

Proto univerzity jen zridka pouzivaji princip default permit a proto si myslim, ze to neni dobra metoda (stejne jako druhy extrem). Resenim musi byt stredni cesta, i kdyz to neni snadne reseni, at uz se stavi na default permit nebo default allow.

Kouknete se do slovniku, co znamena slovo permit.

Kruci. Nojo, nechal jsem se splest tim, ze ta zminena kapitola (kterou jsem cetl) se jmenuje Default Permit (a mluvi o tom, ze se ma misto toho pouzivat Default Deny) ... prehodte v prispevku "Permit" na "Deny" a "Allow" na "Permit", pak to zacne davat smysl.

Zadna zlata stredni cesta.

The opposite of "Default Permit" is "Default Deny" and it is a really good idea. It takes dedication, thought, and understanding to implement a "Default Deny" policy, which is why it is so seldom done. It's not that much harder to do than "Default Permit" but you'll sleep much better at night.

Zlata stredni cesta jde rict i jinak:
Nenechte se ukolebat tvrzenimi, ze default deny neni "that much harder". Pokud ji implementujete jednoduse, tak neni "that much harder" ve srovnani s vasi predchozi "default permit" konfiguraci (ktera byla udelata spatne, protoze prilis jednoduse), ale take je to SPATNE. Implementovat ji spravne je tezsi nez je vetsina administratoru ochotna udelat. Implementovat spravne default permit taky, tam se to ovsem projevi na te bezpecnosti misto na svobode.

Pochopitelne je rada mist, kde je lepsi mit spatne udelanou Default Deny nez spatne udelanou Default Permit. Pocinaje NSA, pres NASA a pravidla, rikajicim co muze z internetu na vas webovsky server, k neostre hranici. Na druhou stranu je rada mist, kde je lepsi mit Default Permit - pocinaje sitemi ISP pro domaci uzivatele pres konfiguraci skolniho pocitacoveho labu a konfiguraci pravidel mezi internetem a pocitaci zamestnancu-programatoru opet k neostre hranici. Mezi obema hranicemi je oblast, ve ktere administrator proste musi byt pripraven provadet zmeny konfigurace nejmene obden.

Mimochodem, mensi rozvedeni pripadu se zamestnancem-programatorem: pochopitelne default-permit policy centralniho routeru je doplnena default-deny policy firewallu na pocitaci programatora. Programator tento firewall umi ovladat (a ma na to prava) a chape, ze nastavit ho na everything-permit je spatny napad a proc.

Virus bude mozne nazvat virem, az v realne situaci prokaze alespon nejakou schopnost sireni. A nebezpeci z nej plynouci se spise nez z toho co dela odvozuje z toho jak je realne se schopen sirit. Tzn. nez informovat o tom, ze nejaky miror byl kompromitovan by bylo zajimavejsi sdelit, kolik pocitacu nasledne virus infikoval.

Moment, už stahuju Firefoxe z Korei :)

Kdyz nepocitam to, ...
... Ted me napadlo ve ketry Koree?