Vlákno názorů k článku Nová Petya nevydírá, prostě jen ničí, data nebylo v plánu obnovit od lupa.cz jsou už jako čučkaři - Podival jsem se na jeden z disku s...
-
Podival jsem se na jeden z disku s Win MBR, hlavne na tech prvnich 25 sektoru, o kterych pise pan Suiche: "wiper which just trashed the 25 first sector blocks of the disk". Prvni je samozrejme MBR, krasne rozsypane smeti, ktere se i podle pana Suiche zalohuje. Protoze ten disk byl puvodne v Linuxu, tak od 0x200 ma "LABELONE" s LVM2 a textovy vypis PV/VG/LV. Jestli tohle nekdo teto instalaci umaze, tak si toho Windows ani nevsimnou.
Intelektualni hratky pana Greenberga (odkazovany clanek na wired) je propaganda jak podle prirucky i s personifikovanym pribehem. Zasah dostal i rusky ropny statni gigant. Jiste jsou tak mazani, ze si skodi sami jen kvuli tomu, aby byla Ukrajina ve zpravach. Genialni - pak je ovsem zahadou jak se jejich civilizace mohla dozit XXI. stoleti?
Dukazy chybi a jiste je jen jedno: zdrojem problemu je Microsoft a jeho prace na poli bezpecnosti.
-
Petr M (neregistrovaný)
1) Kdo implementoval aktualizace tak, že každá instalace využije 70% výkonu systému už jenom na jejich stažení a rozbalení?
2) Kdo implementoval aktualizace tak, že k jejich instalaci je potřeba reboot, který umrtví stroj na několik hodin?
3) Kdo rozhodl vydávat záplaty 1x za měsíc s tím, že pokud se tři dny po vydání záplat podaří zveřejnit novou zranitelnost, za další dva dny ji začnou zneužívat blackhati, tak stejně za záplatu musíš čekat dalších 23 dní a doufat, že tě útočník vynechá?
4) Kdo kumuluje záplaty do jednoho balíku, aby znemožnil hot fix v případě, že zbytek balíku něco rozbije nebo není kompatibilní?
5) Kdo mění interface pro ovladače tak, že na novější verzi nerozjedeš starý HW a kvůli tomu má řada lidí starý, nepodporovaný systémy?
6) Kdo furt mění GUI tak, že je nepoužitelnější, a odrazuje tak uživatele od používání poslední verze?
7) Kdo nedal do systému jednotnou možnost aktualizace aplikací třetích stran, který tak zůstávají nezáplatovaný celou dobu životnosti stroje, nebo si to musí řešit v různé kvalitě ve vlastní režii?
8) Kdo naučil uživatele na W95/W98/W ME, že heslo není potřeba, stačí ESC a dostanou se ke všemu, jenom mají jinou tapetu na ploše, takže heslo je jenom formalita?
9) Kdo neřešil nějaký práva na systému a zavedl standard, že kdokoliv mohl přepsat cokoliv? A tak si aplikace klidně bufferují v c:\Program Files, konfigurace programu v c:\ atd
10) Kdo nechává by default otevřený porty na firewallu, aby BFU nemusel řešit, jak je povolit? -
BobTheBuilderStříbrný podporovatelNo, nevíte tak úplně, co píšete. Např.8: je totiž lepší NEMÍT žádné heslo, než heslo 123456 - protože účet bez hesla ze sítě nelze použít a tudíž ani hacknout, zatímco triviální heslo znamená otevřené dveře.
Ve firmách je to jinak, ale tam zase jednak nemají připustit uhodnutelná hesla navíc můžou (mají) použít lock-out. -
Petr M (neregistrovaný)
Dobře, oprava:
8) Kdo se rozhodl schovávat přípony souborů, aby uživatel nevěděl, jestli rozklikává obrázek, nebo exáč?
11) Kdo vymyslel, že se spustí libovolný soubor už jenom kvůli tomu, aby zobrazil jeho náhled? (jedno jestli uživatelův vlastní soubor, něco z mailu, nebo stažený z netu) -
12. Kdo místo skutečného zabezpečení věcí raději otravuje uživatele miliardou dotazů a upozornění, které už většina BFU ani nečte a rovnou odklikává?
13. NEJDŮLEŽITĚJŠÍ - Kterej debil přesvědčil miliardy BFU, že správa (domácího) PC s Windows je tak jednoduchá, že na tom není co pokazit a že to v pohodě a zcela bezpečně zvládne i cvičená opice za banán? -
BobTheBuilderStříbrný podporovatel
Asi bylo, ale aspoň v Active Directory to přes GP mám zapnuté, takže si to mé ovečky ani nemůžou vypnout.
-
brk (neregistrovaný)
Nemáš pravdu. Na Windows server se připojíš i bez hesla.
Před pár lety jsme měli zakázku v nejmenované firmě. Dělalo se tam něco na serveru. Od správce jsme dostali IP s tím, že Administrátor nemá heslo. Bral jsem to jako blbý vtip, ale zkusil jsem to a opravdu se RDP přihlásilo bez hesla. Doménový server na W2k3, databázový v doméně W2k8. Účet doménového administrátora, co mohl v podstatě cokoliv. Kdybych neviděl, tak po zkušenostech z desktopovými Windows neuvěřím.
-
Ještě doplním že ve výchozím stavu se nikam bez hesla nedostanete.
To co popisujete bude chování vynucené změnou group policy - viz např
https://superuser.com/questions/106917/remote-desktop-without-a-passwordPřípadně password reset utilitkami můžete odebrat heslo lokálního účtu. Ale RDP doménového účtu bez hesla - tomu nevěřím. Pokud ovšem nepopisujete třeba Kerberos SSO - https://blogs.technet.microsoft.com/technetczsk/2015/09/01/automatick-pihlaovn-sso-pro-rdp-a-rd-gw-a-jeho-zabezpeen/
-
brk (neregistrovaný)
Nevím, o detaily jsem se nezajímal. Já si z Windows servery nijak extra netykám. Dány kšeft jsem domluvil, odzkoušel přístupové údaje a dál to nechal řešit kolegy. V podstatě jediné, co mi z toho utkvělo v paměti, byl ten funkční RDP přístup bez hesla. S tím jsem se nikdy dřív ani potom nesetkal.
-
Petr M (neregistrovaný)
Neznamená to testovat každý den, jde o to najít kompromis. Bezpečnostní aktualizace může být [b]volitelně[/b] k dispozici i mimo ofiko termín a mělo by být na zvážení firmy, jestli je levnější ho otestovat a nasadit dřív, nebo je levnější riziko problémů z nenasazené aktualizace.
A pokud je to fakt 0-day, je většinou priorita zalepit okamžitě díru i za cenu omezení provozu (lepší hodinu nedostupný data, než zničený/ukradený data). A to na Widlích nejde, tam v tom případě platí bezpečný = vypnutý. Na Linuxu bývá minimálně provizorní záplata během pár desítek hodin, proč by to nešlo na jiné platformě? Resp. kdo za to může, že to nejde?
Btw, pokud se řekne, že 5. den příštího měsíce vyjde patch, jak zjistíš, že tam nějakou opravu nepřidali jenom den předem? A jak datum přidání souvisí s kvalitou opravy?
-
Míra (neregistrovaný)
Pohádku o aktualizaci linuxu do několika hodin jsem slyšel už nekonečně krát. Stejně jako kraviny typu, že instalace aktualizacív linuxu nikdy nezpůsobí žádný problém, zatímco na windows po aktualizaci minimálně polovina počítačů už nenaběhne.
Na tomto serveru mně to nepřekvapuje, překonat už to můžou jenom kecy na zive.cz.Jinými slovy:
Správce se zkušenostmi z reality se tomu může jenom smát, protože zná realitu.
Blbci to nemá cenu vysvětlovat protože to buď nepochopí nebo nechce pochopit. -
Míra (neregistrovaný)
Predstavit si to dovedu zcela bez problémů. Stejně dobře jako si dokážu představit fungující aktualizaci windows nebo Applu.
Narážel jsem na kecy některých "odborníků" o tom jak na super dokonalém Linuxu je k dispozici oprava do několika hodin, která nikdy nic nerozbije. Zatímco na jiném systému se každou opravou něco rozbije.
To může prohlásit opravdu jenom blbec, který nikdy nic neprogramoval ani nespravoval.
Dalším příkladem je úlet v jiném příspěvku kde je řečeno, že na záplatě údajně "normálního" systému není co testovat. Další důkaz toho, jak někdo kdo nikdy nic většího neprogramoval si akorát masíruje svoje ego. -
j (neregistrovaný)
Zaplata jakykoli asopn trochu normalni veci je vec na par kB, a testovat na ni neni moc co. Je pak predevsim veci admina, jestli se rozhodne neco instalovat a risknout, ze neco prestane fungovat, nebo pockat, az to udelaj ostatni a riskovat, ze nekdo napadne diru.
Jakejkoli normalni dodavatel pak mimo jiny zverejnuje i postupy jak problem vyresit docasne = nekde neco vypnout a podobne.
V pripadne M$ nema na vyber, ma deravej system, se znamym postupem jak ho napadnout, a udelat s tim nemuze nic. A kady zuz milostive vyjde po mesici patch, tak ma 100% jistotu, ze neco rozjebe, protoze krome zaplaty kterou potrebuje, obsahuje bambiliardu dalsich veci, o kterych se prosychr ani nedovi co delaj ...
-
Petr M (neregistrovaný)
Tentokrát musím souhlasit. Oprava takové díry probíhá v těchto krocích:
0) Nalezení chyby
1) Vytvořen unit test s exploitem
2) Ověření, že s chybou test neprojde.
3) Oprava ve zdrojáku.
4) Spuštění unit testů
5) Pokud neprošky všechny unit testy, jdi na 3.
6) Commit do verzovacího systému
7) Integrační testy
8) Pokud neprošly integrační testy, jdi na 3.
9) Release záplatyTohle se v principu dá stihnout za pár hodin a nemusí se nic rozbít. Záplata se dá spustit skoro okamžitě za předpokladu, že:
a) Vydavatel má dostatečnou personální kapacitu.
b) Projekt používá unit testy a CI s dostatečným pokrytím, aby byla nízká pravděpodobnost, že něco rozbije.
c) Testuje se automaticky bez toho, že by si s tím musel někdo tři hodiny hrát.
d) Jsou správně nastaveny procesy pro opravu chyby, že se např. nemusí čekat na konkrétní datum.Zkušenost říká, že většina těchto chyb je nějaký buffer overflow apod. v nižší vrstvě bez UI, takže c) se dá snadno splnit. U firmy velikosti MS se dá předpokládat i splnění podmínky. Tož asi tak.
-
Ten soupis je celkem kompletní.
1) V aktuální Win7 už zátěž systému není tak vysoká. Aktualizací si všimnu, až když systém požádá o povolení rebootu.
2) Čas není v hodinách, spíš v čtvrthodinách. Záleží, jak staré je původní instalační DVD
3) Kritické záplaty jsou uvolněny i mimo termín
5) Toto bych viděl jako špinavou marketingovou politiku (špinavá je vlastně politika automaticky)
6) Změna v interface je také politické rozhodnutí, které je vždy správné - chybu přiznat nelze
7) Kdo by pustil do svého zabezpečeného kanálu pro aktuializace třetí stranu? Šance byla někdy s nástupem Internetu a W98.
9) Práva fungují od příchodu NTFS, jen je aplikace neumějí využívat. Navíc se tahle funkce (otravná) dá dost těžko prodat. Už jen, kolik je nyní problémů s UAC -
j (neregistrovaný)
ad 7) ty vubec netusis, o cem je rec ze? I ten blbej android aktualizacuje vsechny aplikace centralne. A ne, nemusej bejt vsechny z guugliho storu a presto se aktualizujou.
Rika se tomu repository, a jediny co to ma spolecnyho s tim "zabezpecenym kanalem" je to, ze se nekam prida zaznam na tema https://uberap[likace.com/update .... system si pak sam, bez aplikace, s prislusnym opravnenim, bez toho aby user musel bejt admin, overije aktualizace nejen sebe ale i vseho ostatniho a pripadne je z nejakyho standardniho formatu i nainstaluje.
To je zazracna technologie co?
ad 9) ne, ty prave nefungujou, nefugovaly a u M$ nikdy fungovat nebudou. M$ se svejma opicema neumi fungovat ve vlastnim widlosystemu bez admin prav, a nikdo se nebude mesice porad dokola s kazdym patchem vysirat se zjistovanim, co kde zas musi cemu povolit. O picovine UAC ani nemluve. To kazdej normalni clovek okamzite vypne.
-
Karel (neregistrovaný)
ad 7) ne, ani Android neaktualizuje všechny aplikace. Jen ty, co jsou v jeho repozitáři. Pokud si něco nainstalujete ručně přes .apk, tak Android sám nic kontrolovat nebude.
A MS samozřejmě přesně tohle umí, ale přiznejme si, kolik kdo máme v PC programů z jejich Store? Navíc internet je spíše plný dotazů "How To Turn Off Automatic App Updates In Windows 10", než těch, jak to zapnout.
-
Petr M (neregistrovaný)
Jasně, ale autor má možnost dát aplikaci do repozitáře a má vyřešeno update. Něco za něco.
Na widlích tu možnost nemá, takže se to řeší všelijak. Třeba vlastní proces na pozadí, co kontroluje aktualizace (opravdu je potřeba mít na to v paměti 20 spících procesů, když to může systém zajistit centrálně jedním?) s notifikací v systray (kde se klidně nahromadí několik ikonek a uživatel to málo kdy řeší), třeba u JRE. LibreOfffice zase kontrolují všechno interně a objeví se ikona, která otevře dialog, který otevře download stánku na webu LibreOffice a uživatel to musí ručně přeinstalovat... Nebo se na aktualizace prostě hodí bobek. Každá appka, co se chce aktualizovat, musí mít nějaký proces nebo něoco na ten způsob a přístup ven do internetu kvůli kontrole aktualizací, což samo o sobě bezpečnosti nepřidá.
A cena za zlepšení? Klidně lokální registr, kam appka zaregistruje podpis autora, svou verzi, kde stahovat a periodu, jak často kontrolovat. A jeden proces, co jednou denně projde registr, očuchá poslední verze, porovná s aktuálníma a nabídne seznam toho, co je třeba aktualizovat. Po odsouhlasení stáhne patche a při vypínání systému provede sám instalaci. Bez toho, že by uživatel musel mít admin práva, nebo to otravovalo na IT. Když ale ani tohle neumí naprogramovat, tak jsou ještě větší banda břídilů, než se zdá.
-
Petr M (neregistrovaný)
Jo, a k tomu vypínání aktualizací - pokud je něco zapnuto, neobtěžuje to, nic to nestojí a ničemu to nevadí, nebudu si dávat práci se zjišťováním, jak to vypnout. Stejně tak to má i většina ostatních lidí.
Ať je důvod jakýkoliv, na vině může být u updatovacího systému buďto jeho autor, že to udělal blbě, nebo ten, kdo s jeho pomocí doručuje aktualizace, který dělají takovou paseku. V tomhle případě je to jedno, v obou případech jde o stejnou právnickou osobu.
-
ES (neregistrovaný)
Samozdrejme ze muze. ve vychozim nastaveni nesmi bejt spustenejch bambilion blbosti ktery vetsina nepotrebuje a ani o nich nevi.
Proste vytahnu s krabice zapnu a co chi aby bezelo to muzim zapnout, 99% obyc kompu by nic takovyhleho nechytlo, a dal by vesele cekalo az to user spousti sam... -
hardware backdoor (neregistrovaný)
Vy si ešte stále myslíte, že problém je v softwari? Problém je už v samotnom hardveri či Intel alebo AMD alebo ARM - toto sú deravé platformi. Chyby sú priamo v BIOS-e, priamo v čipoch. A kto vyrába väčšinu hardwaru, kto navrhuje dizajn? Aha určite sú to zase Rusi. Ale prosím Vás bez tej propagandy, by to bol aj fajn článok.
-
Ešte jeden dotaz (neregistrovaný)
Čo myslíte prečo po prijatí Snowdena v RUsku - Rusi začali vo veľkom sa zbavovať Intel a AMD a neskôr opustili aj ARM architektúru - teraz majú vlastný ELBRUS - oni majú vlastný hardware spolu s vlastným software. Je priam nemožné sa dostať k platforme ELBRUSS. Aj Číňania pochopili, že vlastný čip je len vlastný čip - všetci ostatní sme iba IT vazalmi USA - ktorý nás môžu vypnúť, kedy sa im len zachce. Takže kto robí útoky? Rusi? Hmmm je to NSA to ona rozbíja spolu so CIA dôveru v hardware, dôveru v IT. Iba zaslepenec verí, rozprávkam z USA. Je to pochopiteľné, lebo pravda je odporná. Berú nám naše slobody a berú nám naše nadšenie z IT, nadšenie z počítačov. V živote by som nebol povedal, že z počítačov sa stanú zbrane. Sme na nich stále viac a viac závislí - implementujeme železo zo západu - pričom je to už dnes aj nad Slnko jasné, že nad hardwarom už nemáme kontrolu.
