Vlákno názorů k článku Je Linux čtyřikrát méně bezpečný? od Payn - Mna len zaraze jedna vec, vsetci tu operuju...

Mna len zaraze jedna vec, vsetci tu operuju tym ze lin ma kopec distribucii. nejak nechapem co to ma s tym spolocne ??? alebo to bezi na "rovnakom" zaklade a tym padom je to vzdy le Linux/unix a absolutne nezalezi ako sa to vola, alebo to je rozdielne a tym padom to nieje zaradene v danej kategorii. tak neviem o com tu stale tocite... :)))

Vaše tvrzení by platilo v případě, kdyby se všechny chyby týkaly toho, co mají linuxové distribuce společné - linuxového jádra. Ale pokud se podíváte na ten seznam zranitelností, zjistíte, že linuxového jádra samotného se týká pouze cca 12 unikátních zranitelností, a vzhledem k tomu, že v každé distribuce máte jinou verzi jádra, nelze konstatovat ani to, že se těch 12 zranitelností týkalo všech uživatelů GNU/Linuxu.

Ostatní zranitelnosti se týkají konkrétních balíčků v různých verzích, a to je místo, kde se linuxové distribuce jedna od druhé liší ještě více. Kolega tu říkal, že jeho distribuce Gentoo se týkalo 307 bezpečnostních oprav za stejné období, ale jeho systému se týkalo cca 7 zranitelností.

Navíc musíme připočítat i fakt, že do toho obrovského čísla jsou započítávány i zranitelnosti jiných unixových systémů a jejich vybavení. Množství distribucí zmiňujeme proto, že GNU/Linux je heterogenní systém, každá distribuce je jiná, má jiné verze linuxového kernelu, jinou sadu balíčků i jejich verzí. Takže zatímco se ta obrovská čísla týkají všeho dohromady, dokonce i jiných unixových systémů, konkrétních distribucí a konkrétních uživatelů se týkají čísla nepoměrně menší. To je důvod, proč vznikl tento článek a přesně toto se snaží říci.

Dodejme snad je. Kdo se bude babrat s vytvarenim viru na balicek xxxx-lib-4.1, kdyz ho tuto knihovnu pouziva 20% Linuxaku a to jeste z 99% v jine verzi?

Takova bespecnostni chyba sice existuje, ale je naprsoto nepodstatna pro site vyzadujici beznou bespecnost (samozrejme ze ne banky atp.).

I z toho pohledu je Linux nekolikanasobne bespecnejsi nez Windows.

to je sice vsetko pekne ale to iste plati v urcitej miere aj pre win, tiez existuju rozne verzie, takze nechapem preco ten jednostranny meter :)). dalsia vec co sa mi vidi velmi vtipna je umiestnenie ankety "ktory systemje bezpecnejsi" na root.cz, co myslite aky vysledok by sa dal cakat keby sme tu istu anketu dali na microsoft.com ??? ma vobec take nieco realne opodstatnenie ?? asi nie tak ako tato diskusia......

To není až tak pravda. Protože jedna společnost nemá sílu vše překompilovávat a dodávat v různých buildech pro různé verze systému => pokud máte program dané verze a víte že má buffer overrun, víte, jaká jsou vstupní čísla většiny funkcí k hacku vhodných DLL a kde je která funkce programu. Většina programů řesí přenositelnost tak, že do systému nahraje novější verze DLL (nebo třeba celý systém jako v případě WIN32S v minulosti), která nějak základ upraví pro činnost programu napsaný proti poslední verzi API. Na Win XP, pokud se nemýlím, tak tento obecný systém nekotrolovaného upgradování systému aplikacemi nahradili tím, že se používají DLL přinesená s aplikací.

Na Linuxu sice bude mít program stejné verze třeba shodný buffer overrun, jenže je pokaždé skompilovaný na jinou adresu a jinak optimalizovaný. Utočník musí znát všechny tyto parametry. Co se týče knihoven, tak na rozdíl od Win nemají většiniou předdefinovanou defaultní počáteční adresu, takže někam záměrně do knihovny skočit je dost problém. Poslední bezpečnostní vylepšení mapují knihovny v každém procesu na jiné náhodné adresy, takže i když přes probe program určíte verzi a umítění, tak po přípravě útoku na daný setup zjistíte, že služba nově spuštěná z inetd teď má knihovny rozložené jinak. Jediné co vám zbývá, je z overrunu volat přímo služby jádra a ty jsou celkem omezené a dobře kontrolované velkým množstvím očí. Zároveň Linux již dlouhou dobu může využít non-exec stack, takže overrun nemůže být použit k podstrčení kódu a musí obsahovat pouze parametry a návratové (skokové) adresy do nějaké knihovny a nemůže přímo volat jádro. Tuto výhodu teď trochu ruší linux-gate.so, které umožňuje zrychleně volat jádro přes well-known adresu.

to je sice vsetko pekne Děkuji. pre win, tiez existuju rozne verzie Ano, tak zhruba 5 aktivně podporovaných verzí MS Windows. GNU/Linux ale existuje v podobě 350 aktivních a registrovaných distribucí, to je podle mne veliký rozdíl. Další rozdíl je v tom, že MS Windows ke svému systému přibaluje minimum programů, takže zranitelnosti, které se počítají pro MS Windows, sledují převážně těch několik málo programů, co máte v defaultní instalaci od MS. Srovnejte to třeba s Debian GNU/Linuxem, který má 15490 balíčků. Potíž je v tom, že vzhledem k tomuto nepoměru není možné srovnávat absolutní čísla, která nám studie poskytuje. Navíc studie hází do jednoho pytle GNU/Linux s Mac OS, AIX a jinými unixovými systémy.