Secunia: 98 % počítačů s Windows je zranitelných

"V případě problematického software nejde obvykle o součást samotného systému, ale především o děravý a neaktualizovaný software třetích stran."

tim melo byt taktne naznaceno, ze tyto pocitace jsou ohrozeny prinejmensim dvema chybami ?

Třemi, ještě je jedna běžná bezpečnostní díra mezi židlí a klávesnicí :)

Nefunguje to tak ze se ty tri chybi vzajemne neutralizuji a tudiz 98% windows je nezranitelnych?

Tři chyby, to je 0011 chyb v počítačtině. A jedenáct chyb to už je trochu moc, ne?

Myslim, ze by se nemuseli omezovat jen na pocitace s Windows, ale na vsechny.

ja sveho debiana updatuji denne ;) coz samozdrejme neznamena ze tam diry nejsou .. jen se onich ZATIM nevi. Kdyz to vezmeme dogmaticky tak 100% pocitacu je deravych

myslim ze to neni o aktualizacich ale o prevenci, v cemz ma linux lehce navrch, jelikoz netrpi nekterymi problemy ktere jsou vrozene widlim.

na druhou stranu je v linux distribucich spousta nevyuziteho potencialu - selinux, posix caps, atd - ktery se na windowsech horko tezko emulujou "sw tretich stran" (anti-vir, anti-todle, anti-tamto). dokud se tento potencial nevyuzije, je linux zranitelny (vuci malware, spyware, ...) temer stejnou mirou. v nekterych ohledech mozna i vice, a to si ted rypnu, kolik z vas uber-debianistu kazdy-den-updatujicich, cumi denne do procesu a patra co je tamto a toto. co kdyz je mingetty spyware?

> co kdyz je mingetty spyware?

To záleží na tom, jestli věříte správcům oficiálního repositáře, nebo ne. Pokud ne, tak byste měl změnit distribuci:)

Muze to byt neco co se menuje mingetty a nebo to muze byt i TEN mingetty. Oficialni spravci s vasim mingetty nic neudelaji.

A jak se tam "to" jine mingetty dostalo? Osvítil snad můj počítač duch svatý?

pres diru v prohlizeci? nebo prehravaci audia? nebo nejakej trojan? cojavim? jak se dostavaj "viry" na windows?

Pokud se tam ten mingetty dostane pres browser nebo prehravac audia ci jinou podobnou cestou, je velmi nepravdepodobne, ze by bezel pod rotem a mohl tak nadelat nejakou vetsi skodu. To by musel byt rafinovanejsi mingetty, ktery obsahuje nejaky lokalni exploit. A ten by mohl anebo take nemusel fungovat, zalezelo by na stavu jadra v dane distribuci. Cili autor toho utoku by mel mnohem tezsi zivot, nez s Windows, kde je prostredi mnohem homogennejsi a navic je mezi uzivateli Windows velmi rozsireny zvyk provozovat OS pod rootem.

Ach jo, vazne jste tak nechapavi?

Proc by musel proboha spyware bezet pod rootem? Na spoustu veci nepotrebujeme roota. Bude vam smirovat vase pozlacene ssh klice a hesla. A nebo vase data, jste-li ve firemnim prostredi. Nebo neco jineho, to neni podstatne. Podstatne je ze se vam tam dostal program, kterej i bez roota muze nadelat paseku. Kdyz jsme u toho, tak ten pristup na roota si casem vysmiruje taky. (Staci se napichnout na terminal a kouknout se co delate se svym pozlacenym sudo.)

A proti tomu neni zavedena zadna efektivni obrana, ackoliv k tomu existuje hafo nastroju (viz muj puvodni prispevek). A dokonce, jak bylo demonstrovano odpovedmi zucastnenych, zdejsi mentalita s necim takovym vubec nepocita. Jediny stesti je, ze se zatim exploitujou jen prohlizece pod windows.

asi stále žijí v představě, že ten jediný správný malware musí nutně běžet pod rootem, jinak nestojí za pozornost ...

To mate sice pravdu, ale bez roota ten malware nadela v systemu pomerne malo skody a je snadne ho odtamtud odstranit. Ostatne, pokud budu dostatecne paranoidni, budu poustet browser pod jinym uzivatelem a pak toho ten malware moc nevysmiruje. Nanejvyse tak to, co delam na webu, protoze na nic jineho toho uzivatele nebudu vyuzivat.

a proč by měl v systému dělat nějakou škodu? To by byl jen proti sobě - on se radši jen připojí do botnetu...

kopa ľudí si stále myslí, že cieľom malvare je stále poškodiť súbory alebo hardvér. V skutočnosti je dnes cieľom malvare pre svojho tvorcu niečo získať (heslá, citlivé údaje) alebo ho nejako využiť. A na to principiálne netreba práva roota, hoci taký program si časom heslo roota bez problému získa.

A nebo ten botnet. Kolikpak lidi ma dusledne filtrovanej chain output? Nebo nejak jinak nastavenej "pristup aplikaci na internet"? :-)

Napachat skodu=modifikovat system, treba vymenou a pridanim binarek top, ps, ls, ssh a co ja vim jeste).

Jenze kdyz nebude mit roota, tak to nejlepsi, co zmuze, je to, ze jen tak pobezi a ja si ho drive nebo pozdeji vsimnu v task manageru nebo nekde. Kdyz bude mit roota, muze mi ofixlovat binarky tak, ze ho vubec neuvidim a to se to pak blbe hleda a opravuje a clovek to radsi preinstaluje, protoze se tomu uz neda verit.

Zda se, ze jste si poradne neprecetl prispevky na ktere reagujete. Takze znova (a naposled):

Tak si toho vsimnete a? Do te doby bude uz na lecos jiste pozde (data ukradena, spamy rozeslane, vas komp soucasti botnetu, ...). Nemluve o tom, ze verit tomu nebudete moct stejne, anzto si muze odchytit vas pristup na roota (jak jiz bylo receno!) a prohrabat se nekam dal.

Co se tyce vymeny ps, top a tak dal, nemuzete byt dal od pravdy nez jste. Muzu vam jako uzivateli podstrcit do cesty (PATH) jine programy, nebo sdilene knihovny (LD_PRELOAD, ...). Pokud udelate su nebo sudo a nepudete na roota rovnou z konzole, coz asi casto nedelate, ze (nebo lepe rovnou pouzit forenzni live cd, ktere jiste strkate do mechaniky aspon 2x denne?), muzu i tak zmenit vas uzivatelsky terminal tak abyste nic nevidel (a to jak terminalovy emulator pro X window tak skutecnou vc), ... no a seeing is believing, nebo ne?

Odstranit muzete jen to, o cem vite, ze tam je. Proto jsem se ptal, kolikrat denne kontrolujete kazdej proces co je zac a jestli neni 'subverted'...

Pusteni browseru pod specialnim uzivatelem samozrejme je cesta, a existuji i dalsi cesty, ale i Vy o tom mluvite v case budoucim a ne v pritomnem. A to je moje pointa - nastroje jsou, ale nevyuzivaji se. Pravdepodobne se zacnou pouzivat, az nekde nekdo ten zly mingetty najde.

Mam stroj up to date, pocinam si s rozumnou opatrnosti, do task listu se divam dost casto, i kdyz ne vzdy ho dusledne kontroluji. Nicmene i pri zbeznem nahledu, kdyz se divam, kdo mi zase loupe pernicek (CPU), bych si drive neceho asi vsiml. Treba ze mi bezi binarka z /home/jarda. Az bude hrozit malware na Linuxu, budu browsovat pod jinym userem nebo prejdu na zcela mensinovy browser. Pod Widows je lepsi browsovat na jinem pocitaci a ten pak obnovit z image.

Tak proc to nedelate hned - cekate az budete mit prvni mingetty zrovna Vy?

Predpokladam, ze se o riziku vcas dozvim, az se nachytaji prvni navstevnici pochybnych vebu, na ktere ja nelezu. BTW, kdysi jsem kvuli temhle vecem cetl bugtraq. Nevite nekdo, co se s nim stalo?

Mam na mysli bugtraq na usenetu. Nevim, jestli muj ISP je debil a bugtraq nebere nebo jestli to uz existuje jen jako mailing list.

Buffer overflow pri parsovani tagu? To je asi dost zjednodusene, ale proc by to musel byt jen JS? Cim slozitejsi system, tim nachylnejsi na chyby. Rendering je take dost slozity. Co nejaky specially crafted obrazek?

Kdo je ten pan na obrazku vaseho Avatara?

Kolik uzivatelu (lidi, ne systemovych uctu) mate na svem pc?

No a co byste delal kdyby vam nekdo kompromitoval 14% uctu na tom serveru?

A samozřejmě ve chvíli, když přijde první exploit, sranda bude o to větší. Ale jak tu bylo psáno, rozesílat spamy, šlehovat, případně mazat data uživatele lze bez kontextu roota.

možná je ignorant, možná je demagog, nicméně otázka je to k věci - co byste dělal, když se dozvíte, že máte kompromitované některé uživatelské účty?

Jinými slovy budete mít závažný problém. To nemluvě o situaci, kdy si malware běžící v kontextu uživatele stáhne modul, který využívá nějaku čerstvě objevenou díru (možná zítra, možná za dva měsíce).

Já číst umím. Zkuste se podívat, o čem je vlastně řeč:
http://www.root.cz/zpravicky/secunia-98-pocitacu-s-windows-je-zranitelnych/240391/

V krátkosti jde o tom, že malware nepotřebuje běžet v kontextu roota, aby mohl páchat škodu. Rozesílat spam, smazat či modifikovat uživateli data, odchytávat hesla atd. může v kontextu uživatele. Situace je úplně stejná, jako ve Windows.

Jestli já jsem za trolla, vy jste za blba. Ve Windows není everybody root by default. To je vaše smyšlenka. A musím vzpomenout třeba Linspire, kde svého času byl každý uživatel by default adminem.

Windows při instalaci zakládají jeden administrátorský účet (s upozorněním, že pod ním nemáte pracovat), a nabízí vytvoření uživatelských účtů. Ve firmách zaměstnanci typicky pracují jako restricted users. Domácí uživatelé si provádějí správu počítače sami, a použité nastavení odpovídá jejich znalostem a schopnostem. Někteří z nich i ve Vistě pracují pod adminem, a ještě si k tomu vypnou UAC.

Jinými slovy není pravda, že ve Windows je everybody root by default. Pokud jste tentýž anonym, který mě nazývá o kus jinde velmi hlasitě lhářem, tak se vážně zamyslete nad svým stylem diskuse. Když budete psát nesmysly, a křičet u toho na ostatní "trolle, lháři", tak z toho nebude nic dobrého.

Co je v praxi nepoužitelné? Windows když nejedete pod adminem? Tak to asi uživatelé ve firmách nepoužívají Windows :)

Ale zkuste se rozepsat o tom "kdyz v praxi je to nepouzitelne". Buď máte nějaká fakta, nebo jen tak poštěkáváte.

Nic, to řeší systrace :)

V linuxu se ale alespoň aktualizuje i software, ve windows jen samotný operační systém. A ne každý soft třetích stran se sám zaktualizuje a nebo ho nechá uživatel vůbec zaktualizovat.

ten originálny článok ani nie je len o Windows. Vyzdvihuje síce výhodu balíčkovacích systémov, netvrdí však, že tých 98% sa vzťahuje na Windows. Naopak, tvrdí, že nezaplátaných je 98% počítačov na webe. Keďže minule sme tu plesali, že podiel Windows klesol pod 90%, tak v tom čísle zrejme je aj Mac OS. Linux tam, vzhľadom na svoj malý podiel, teoreticky byť nemusí.
http://news.softpedia.com/news/Less-Than-Two-Percent-of-Internet-Connected-Computers-Are-Patched-99206.shtml

Legracni je, ze kdyz se dela report, tak se vytahnou vsechny chyby vsech SW v Linuxu a porovnavaji se se vsemi z MacOS ale jen u Windows se pocita pouze OS (nezapocitavaji se SW tretich stran ba ani dalsi SW samotneho Microsoftu - a malem by nezapocitavali ani soucasti jako DNS, IIS, atd).

Ale keby aspoň aktualizácie Windowsu prebiehali hladko, rýchlo a bezchybne... Z mojej skúsenosti tomu vždy tak nie je :-)
No čo už... Kto chce, hodí si ničo iné, a kto chce, má možnosť zvoliť si M$ Win... To sú výhody demokratickej spoločnosti.

To, že mi nenabehli X-ka a musel som čakať celý deň na ďalší update, sa mi stalo jedine po aktualizácii ubuntu;-)
U Windows som mal za cele roky problém z aktualizáciou dvakrát - raz mi prestal fungovať antivír a po inštalácii SP3 pre XP mi firewal nechcel dovoliť nabootovať, ale to bola moja chyba.

hmmm, evidentne si husty a do toho hlboko vidis

???
Dovolil som si napísať osobnú skúsenosť. Máš niečo proti?

vlastní blbost jsi chtel nejspis napsat ne?

áno, zabudol som, že všetko rúhanie sa Tuxovi je blbosť :-)

Nemyslim na problemy tohto typu. Na XP sa mi casto stavalo, ze aktualizacie nenabehli na jednom kompiku po pripojeni na net vobec (mal som nastavene iba upozornenie, nie automaticke stahovanie), aj ked na druhom uz boli davno nainstalovane... Nehovoriac o pravidelnosti aktualizacii raz za mesiac... Ved mnohe chyby uz mali svoje exploity davno pred uvolnenim aktualizacie... Na OpenSource je pravidlom uvolnit opravu hned po objaveni chyby... Ale vsak nech si kazdy vyberie, co mu je lepsie... ;-)

aktualizácie nebývajú nevyhnutne len raz za mesiac, veľakrát som už zažil zmenu cyklu. Ten druhý problém asi existuje, počítače sa trochu záhadne neaktualizujú vždy naraz. Možno to súvisí aj s verziou systému (anglické XP, anglické zo slovenskou jazykovou nadstavbou, české), možno že to MS rozdeľuje podľa nejakého kľúča, aby sa vyhol preťaženiu serverov. Každopádne, vždy pomôže spustiť aktualizáciu ručne, čo je otázka pár kliknutí.
Problémy s aktualizáciami som zažil aj na Open Source, od prechodnej nefunkčnosti mirrorov až po záhadné chyby s Ubuntu (Edgy), keď celé týždne chodilo podozrivo málo updatov. Riešilo sa to vtedy aj na fórach, radilo sa meniť mirrory, niektorí plesali, aký je ten Linux bezchybný, ale podozrivo sa to správalo pomerne dlhú dobu.
"Na OpenSource je pravidlom uvolniť opravu hned po objaveni chyby" - tiež to nie je úplná pravda, napr. FF takmer vždy kumuluje viac opráv do jednej verzie. navyše, asi ste nechceli povedať "po objavení" ale "po opravení". čo je občas dosť rozdiel. A ďalší čas si vyžiada zaradenie opravenej verzie do repozitárov.

nevím co tu tahle zprávička dělá , ale já beru chyby ve widlích jako dobrou zprávu a čím více zabugovanější widle tím věší důvod pro oslavu ... a zrovna na tomto serveru bych tuto zprávičku očekával v oslavném stylu , proč mi tahle připadá naspaná pochmurně ?

Špatně se vyspala :)

Teď vážně: každý zavirovaný komp je pravděpodobná zombie, která může posílat nigerijské dopisy nebo newsletter s adresami na koupi nejlevnější Viagry a Cialis, případně se účastnit DDOS útoků. A to je tak vážný problém, že končí veškeré oslavy.

Stacilo by, kdyby ISP strihali pripojeni tem, co se na spamu nebo ddos podileji nebo jim aspon zkrouhli rychlost na minimum do doby, nez si vycisti pocitac. Tech ISP, co tak jednaji, je ale zalostne minimum.

proč by to nějaká firma měla dělat? kvůli morálce? ale jděte, na tu se už nehraje ani u nás. naopak, v kapitalismu je toto velmi výhodné, "jen ať rozesílají co chtějí, my jim v tom bránit nebudem, ještě by sme přišli o zisky."

Jsou firmy, ktere to delaji, ale je jich malo. Odesilani spamu je totiz v rozporu s terms of use. A stiznosti pak chodi na jejich abuse@.... Pokud to rovnou nezahazuji, musi platit nekoho, kdo se tim zabyva. Navic jejich mail server muze skoncit na black listu a uzivatele pak rvou, ze jim nejde poslat mail do domeny te a te, protoze jim to posila zpet zpravu, ze jejich ISP ma server na black listu. A uzivatele si pak mysli, ze jejich ISP je debil.

Tech pocitacu nebylo 120k, ale jenom 20k, aby bylo mozno porovnat data s lonskem. V loni proslo skoro 5%