Většina antivirů nenajde nový virus ani po měsíci

"pokud se zkušený uživatel windows vzdá části pohodlí a možností, které mu windows nabízejí, tak dosáhne bezpečnosti v zásadně srovnatelné s tím, co ostatní plaformy nabízejí, aniž by se musel omezovat"

Ano, to jste popsal zcela spravne. Jen bych to neoznacoval jako "pohodli", ale spise vzdani se principu nebezpecnosti ve vychozim nastaveni (aby to nebylo pro masove uzivatele "slozite"), kterou ma pak udajne resit anitivir. O cemz vime, ze je to blbost. Podobnym syndromem "jednoduchosti" trpi treba Android.

Potiz je, ze standardni prvky bezpecnosti (omezene uzivatelske ucty atd.) bezne na jinych platformach, jsou v pripade Windows povazovany za "omezovani". Pritom tam existuji uz od roku 1995 (Windows NT 3.51) a v "konzumnich" edicich od roku 2001 (Windows XP) a lze je pouzivat. Ze je typicti uzivatele nevyuzivaji vymenou za "jednoduchost" neni podstatne, to uz je jejich hazard. Zkratka pokud chci, dosahnu na Windows stejne bezpecnosti jako jinde a neprijde mi to nepohodlne, protoze to z principu jinak nejde.

To ze je statisticky vice pokusu o utoky na Windows nez Linux souvisi logicky s rozsirenim a typem uzivatelu, podobne je to i s Androidem. To ovsem nijak nesnizuje bezpecnost systemu jako takovou, pouze rizikovost pri instalaci software (prevazne neznameho puvodu).

Já to označuji jako pohodlí, protože zapnout SRP může znamenat značné snížení pohodlí. Pro někoho vůbec, pro někoho značné - to je velmi individuální. Pochopitelně hodně záleží na tom jak je ta konkrétní aplikace, kterou chci/potřebuji napsaná, pro některé se musí dělat v SRP výjimky = otrava navíc.

Další věc, co jsme myslel pod pohodlím a možnostmi je opět to, co už jsem popisoval - tedy možnost bezpečně instalovat širokou nabídku aplikací ("tzv. zbytečné humusy"). Toho se prostě pod windows musím vzdát - anebo musím riskovat, že bude instalace infikovaná.

To jsou dva konkrétní příklady nepohodlí a omezení, které musím akceptovat, abych dosáhl bezpečnosti běžné na linuxu.

Vy jste vnesl do diskuze další příklad - uživatelské účty, to jsem vůbec neměl na mysli, to je na samostatnou diskuzi. I to je problém windows, že vychovaly vývojáře a uživatele, že uživatel = admin a tak ti, kteří používali účet s omezenými právy velmi dlouho bolestivě trpěli. Ale teď je rok 2012 a aplikací, které mají problém s omezeným účtem je minimum, takže tohle už nemá cenu řešit.

Bezpečnost systému pro mne zahrnuje všechny aspekty a včetně pravděpodobnosti, že mne při nějakém chování ohrozí virus. A v tom jsou windows prostě hůře. Je jedno, že technicky windows tohle a windows tamto.

ESET na tom nie je tak zle, kedze Outlook pouziva iba Lael Ophir a Radek Hulan :)

Defender a antivirus? Tohle slovní spojení nejde dohromady :-D
A to že McAfee narazil na vládní spyware fakt není jejich chyba, stejně jako to že Outlook je bezpečnostní díra velikosti kanálu La Manche, nebo to že nejlepší, nejstabilnější a nejbezpečnější operační systém (jehož části, třeba user32.dll, se občas chovají jako viry) nenechává dost prostoru a výkonu pro ostatní aplikace, ale žere veškeré zdroje sám, protože prý se tak (podle M$ mindfucku) lépe využije počítač...

No to jsou zase moudra. Jak konkrétně se user32.dll chová jako viry? V čem konkrétně je Outlook bezpečnostní dírou?

Asi by si sa mal stretnut s ludmi z realneho sveta. Este som sa nestretol s domacim uzivatelom, ktory by povedal, ze mu netreba nainstalovat antivirus, pretoze je tam Defender. Bud chcu tretiu stranu alebo im je to uplne jedno.

shodou okolností mam už pár let možnost vidět PR kecy přímo na budově centrály M$ (BBC, Vyskočilova), při vydání visty i sedmiček se tam objevovaly vzletný fráze o tom, jak je ten novej systém bezpečnejší; a stalo se HOVNO; domácí uživatelé a menší firmy už teď mají antivir zadarmo (kayž na to maj žaludek), kolik z nich je součástí botnetů je ve hvězdách

to, že to teď není jen další PR kec, je jen tvoje zbožný přání, čimž netvrdim že se ti nesplní, ale pokud tomu moje korporace neuvěří, tak to bude kurevsky špatnej signál (buďto toho, že nevěří svýmu hlavnímu dodavateli desktopovejch OS, nebo že sou manageři už prostě zvyklí na to to takhle prostě dělat)

a jakkoliv takový situaci nefandim, tak bych se nedivil, kdyby zasáhla EU a ten tvuj slavnej defender dopadne jako IE (myslim ballot screen, ne stále ještě nesmyslně vysokej podíl na trhu)

Novější verze Windows opravdu jsou bezpečnější. A že se situace s rozšířením malwaru až tak výrazně nezměnila? Tady si pomůžu citátem: 'Now, here, you see, it takes all the running you can do, to keep in the same place. If you want to get somewhere else, you must run at least twice as fast as that!'

tak to by asi místo Ballmera měli zaměstnant Bolta (pozor vtip!)

LOL. Monolitický nepreemptivní kernel, X11, systém terminálů, major/minor number, absence API pro mnoho aktivit... Osobně vidím hodně zjevných míst pro zlepšování.

Windows jsou odjakživa celkem spolehlivý systém. Spousta lidí má samozřejmě trochu jinou zkušenost. Proč? To vezmete pár kusů necertifikovaného a nevyzkoušeného HW, vadnu paměť. sestavíte to v garáži, naplácáte k tomu necertifikované drivery které někdo zprasil, k tomu naintalujete nějakou aplikaci co přepíše pár systémových knihoven beta verzemi, a je vymalováno.
I já jsem viděl instalace dojebané tak že padaly na blue screen co hodinu, a sestavy na kterých nešlo bez chyb dokončit an instalaci Windows. Nicméně tohle není problém Windows.

Windows 3.x měly samozřejmě svoje mouchy, konkrétně kooperativní multitasking a nedokonalé oddělení aplikací. Nicméně i takový systém může celkem úspěšně fungovat, pokud máte vychovavé aplikace a funkční drivery.

Reinstalace systému je typické řešení pro uživatele bez znalostí, který si systém rozhasil tak, že už neví co s ním.

Jasně, a první nevychovaná aplikace celý systém shodí. Ale takových je většina, protože jak si M$ programátory vychoval, takové je má.
O uživatelích to platí zrovna tak.

Při pohledu na jakékoliv distro Linuxu musím říct, že si MS ty vývojáře vychoval ještě dobře :D

poprosim vas oba. nezasirejte tu diskuzi irelevantnima hovadinama mimo tema zpravy.

Nevím co MS tajil, ale zato vím, že jsou Windows už dlouhá léta jednou z nejlépe dokumentovaných platforem vůbec.

Těch vychovaných aplikací bylo celkem dost. S drivery opět nebyl problém, pokud jste se držel Hardware Compatibility Listu. Samozřejmě tehdejší počítače ve východní Evropě byly nejlevnější plečky sestavené ze šrotu, takže na nich Windows fungovaly všelijak. V době Win9x mi prošla rukama řada strojů, na kterých neprošla ani instalace, spousty vadných paměťových modulů, desek na kterých Windows byly prostě nepoužitelné, zdrojů které způsobovaly nestabilitu stroje atd.

Windows se mi kvůli Registry zhroutily jen když odešel FS díky vadnému HW. Ovšem tam by mi konfiguráky nijak nepomohly. Fakt nevím, jaké problémy jste pořád řešil. Faktem ale je, že koupě počítače bez certifikace a bez důkladného ozkoušení byla tehdy v ČR sázka do loterie.

Bobtnání Registry je úplně stejný problém, jako bobtnání FS na unixech. Při odinstalaci aplikace se zpravidla neodinstalují závislosti. A když je odinstalujete, stejně vám zůstane po disku spousta konfigurace v /etc i v home adresářích uživatelů. A podobně jako ve Windows to vůbec není problém. Zpomalování Windows mají daleko spíš na svědomí hromady doplňků shellu, které si uživatelé tak rádi instalují. Integrace pěti kompresních programů, prohlížečky obrázků, antiviru, a hromady dalších nesmyslů... Každý z těch doplňků má vlastní knihovnu, často se zaregistruje na všechny typy souborů, a samozřejmě při zobrazení například kontextového menu musí proběhnout obsluha všech těch doplňků (které třeba u kompresního programu může zahrnovat kontrolu obsahu archivu). Skvělé jsou také shortcuty na UNC cesty ve Start Menu. Jinými slovy hledáte problémy úplně jinde, než kde ve skutečnosti jsou.

To je zatraceně zvláštní. Pár souborů v /etc nebo v home adresáři problémy nezpůsobuje, kdežto pár záznamů v HKLM nebo HKCU by podle vás problémy způsobovat mělo. V čem je tedy rozdíl? Jak konkrétně váš počítač zpomalí existence klíče HKLM\Software\Ma­nufacturer\So­meProduct?

Srovnání rychlosti posledních mainstreamových dister Linuxu s poledními verzemi Windows rozhodně nevyznívá ve prospěch Linuxu.

Já měl například počítač, který několikrát denně padal. Byl tam driver nějaké málo rozšířené videokarty od ATI, necertifikovaný, ale vypadal od pohledu celkem rozumně. Na webu výrobce jiný driver nebyl. Po dvou dnech zkoumání jsem zjistil, že ovladač toho samého HW je v instalaci nějaké verze DirectX, když ji rozbalím (instalace ten driver ale sama od sebe neaktualizovala - možná měl ten od výrobce vyšší číslo verze). Nainstaloval jsem tenhle driver, a pak jsem pár let ten počítač naprosto bez problémů používal. Jindy jsem si koupil skvělou zvukovou kartu s 5.1 výstupem přes S/PDIF, což mimochodem není samozřejmost - běžně ty karty uměly jen AC3 passthrough a PCM stereo. Výrobce BlueGears, chip tuším C-Media 8738 (velmi okrajová záležitost). Driver byl necertifikovaný, ale risknul jsem to. A moje Windows 2000 najednou padaly co pár dní, aktualizace driveru nepomohly. Použil jsem driver od jiného výrobce (dalo trochu práce ho sehnat a donutit fungovat), a najednou bylo po problému. Stačí jediný špatný driver, a stabilita jde do háje.

Vaše představa o čtení konfigurace z konfiguráku je dost vtipná. Samozřejmě nejde o jeden blok. Ten soubor je na FS, takže musíte lokalizovar root, /etc, případný podadresář, ve struktuře adresáře najít referenci na soubor, a pak teprve můžete načíst ten blok s konfigurací. Ta vlastní konfigurace může být na opačném konci disku než informace o adresáři ve kterém se nachází (takže je čtení konfigurace doslova rozeseté po celém disku). A když už ty bloky s konfigurákem nakonec najdete, čeká vás slow search a parsing, abyste našel a načetl požadovanou hodnotu.

Čtení z Registry je ve srovnání s konfigurákem zatraceně rychlé, o zápisu ani nemluvě. Naprostá většina operací navíc díky cachování probíhá v RAM.

Jinými slovy pokud se vám Windows zpomalují, bude to spíš službami spouštěnými při startu, aplikacemi spouštěnými při přihlášení, různými doplňky shellu, a možná fragmentací FS (od Visty výše ale probíhá defrag FS automaticky na pozadí). Rychlost Registry s tím nemá co dělat.

Ano, většina operací díky cachování proběhne v RAM. Při čtení z Registry i z konfiguráku.

Nevím čím to u vás je, ale Registry jsou špatný tip. Psal jsem vám několik dalších tipů, můžete si je projít.

Windoze se zpomalují i když se do nich nic neinstaluje, stačí je zapínat a vypínat.

Fakt? Windows naopak například umisťují startované soubory na disku souvisle, aby se rychleji načítaly, takže časem rychleji bootují (pokud se nic jiného nemění).

Nezastavil. Naopak, Wosmičky se oklikou do osmdesátých let vrátily, jak vzhledem tak (ne)funkčností jsou hrdým nástupce W1 :-D
A přečtení doporučuji, aspoň zjistíte odkud ty blafy z firemní příručky pocházejí.

Link?

Někdo se tu vytahoval že umí dobře vyhledávat. Já jsem to nebyl, a trvalo mi to necelé tři sekundy :-P

Nic jako příručku Unixhaters jsem na stránkách MS nenašel. Když vám to trvalo najít tři sekundy, mohl jste sem ten link rovnou dát.

Byli tu případy, kdy uživatelé rozbalili zaheslovaný archiv heslem přiloženým v obrázku, a program spustili. Před vlastní blbostí uživatele neochráníte. Navíc pokud netrváte na digitálním podpisu instalovaného SW a uzavřené distribuci, technicky nelze zajistit, aby si uživatel nespustil nebo nenainstaloval malware. Zkomplikovat to můžete, ale problém to neřeší, a je to za cenu složitějšího postupu při spouštění programů, instalací a skriptů.

Zrovna na Linuxu stačí mít nastavený příznak, co na removable mediu znamená trochu problém. A když ho dáte přimountovat jako noexec, zase z něj nic nespustíte - žádné oblíbené aplikace na USB klíčenkách apod.

mno to s tim poloadminem ... když sem to viděl poprvý, tak sem málem sletěl ze židle; to fakt těžce posrali

Windows se pod řadovým uživatelem také používají snadno. Problém je v tom, že při administraci musíte pořád dokola zadávat heslo admina. A domácí uživatel, který si administruje stroj sám, se prostě radši učiní adminem.

Mimochodem používání počítače pod řadovým uživatelem dávno neposkytuje ochranu, kterou byste od toho asi čekal. Malware může prostě pracovat pod restricted userem. Úplně stejně může ukrást dokumenty, zúčastnit se DDoS útoku nebo rozesílat spam.

Pokud se dostane malware do profilu uživatele, je už pozdě. Například tomu vašemu grafickému sudo zadáváte rootovské heslo z klávesnice, a dá se snadno odposlechnout. Ve Windows před tímhle sice existuje ochrana, ale na nějakou formu privilege escalation může dříve či později dojít. Problémem jsou navíc hlavně ti uživatelé, kteří se o svůj stroj neumějí pořádně postarat. Ti mnohdy infekci ani nezjistí, natož aby si s ní uměli poradit.

Už nejméně 6 let můžete pustit pod adminem samozřejmě i Explorer.

BTW na unixech je mimořádně špatně řešená správa rolí. SUID je z hlediska bezpečnosti snad to nejhorší, co si člověk může vymyslet. Vůbec celý bezpečnostní koncept unixů je mizerný. Například čtení a změnu parametrů sítě může udělat jen root(!), a řeší se to utilitou která má nastavený SUID bit (ifconfig). API samozřejmě popsané není, protože takové věci jako nastavení sítě přece nikdo nepotřebuje :).
Srovnajte to s konceptem ve Windows. Na podobné akce existují dokumentovaná API (například IP Helper), a oprávnění se neřeší tak že root může vše, ale pomocí konfigurovatelných privileges a ACL (SeCreatePage­filePrivilege, SeDebugPrivilege, SeLoadDriverPri­vilege apod).

X11 funguje pomocí X11 client messages. Každý uživatelský vstup vyvolá event, a aplikace je mohou legálně získávat. Navíc můžete monitorovat vykreslení dialogu s dotazem na heslo a překreslit přes něj vlastní okno, změnit titulek okna, nechat zmizet prvek GUI, a vůbec dělat hromadu špatných věcí. Dále můžete použít environment variable LD_PRELOAD pro filtrování/pos­louchání/modi­fikaci volání API, nebo si třeba napsat X11 proxy a na tom pak odchytávat/mo­difikovat X11 messages. Aktivity browseru zase odchytíte skrytě nainstalovaným doplňkem, případně nastavením proxy bez vědomí uživatele. Fakt vás na tyhle unixové techniky musí upozorňovat uživatel Windows? :)
http://securityvulns.ru/articles/reveng/
http://john.nachtimwald.com/2009/11/01/x11-intercept-window-close-event/

Ve Windows je feature zvaná Secure Desktop (ta zšedlá obrazovka), která minimálně problém s odchytáváním eventů celkem elegantně řeší. Na Secure Desktop totiž message nepošlete, ani nic nezahookujete. Nevím o žádné obdobně neprůstřelné implementaci na Linuxu.

Windows XP opravdu neumí pouštět Explorer pod adminem. Ale připadá mi dost irelevantní se bavit o 10 let starém systému.
Jako bývalý uživatel XTree Gold mám s Windows Explorerem daleko menší problém, než s různými těmi obšlehy NC, které přebírají jeho pravěký styl ovládání, naprosto odlišný od všech ostatních aplikací. F5 znamená ve Windows Refresh, nikoliv Copy. CTRL+C znamená Copy, nikoliv Drive-C. BTW Windows Explorer vám vykresluje i desktop, taskbar, Control Panels atd., tak si moc nestěžujte :)

"Srovnajte to s konceptem ve Windows."
Třeba grafické služby přímo v jádře systému? To mohl vymyslet fakt jen úplný dement odchovaný na QBasicu! Aneb proč na zavirování systému stačí pouhý obrázek a sebevětší omezování usera tomu nemůže nijak zabránit...
Proti tomu jsou rozbujelé středověké X11 ryzí zlato :-D

Grafické služby v jádru mají daleko lepší výkon než v user space. Data stačí na zavirování systému v dlouhé řadě případů, když využijete vhodnou díru v obslužném SW. Příkladem mohou být díry v zlib a libpng. Tyhle knihovny jsou při práci uživatele velmi často používané, a tedy před nimi uživatele neochráníte.

Jasně, X11, to je výhra. Sice je velmi pomalé, specifikace je rozpatlaná, vzdálený přístup je nemožně pomalý, na přerušenou session se nelze znovu připojit, z řešení fontů by jednomu vypadaly vlasy a možná i nehty, ale jinak je to vlastně super technologie :). V devadesátých letech se účet X11 celkem trefně vtipkovalo. Víte jak zabít najednou CPU i network? Spusťte si xclock přes síť :). Dnes mámte sice rychlejší CPU i sítě, ale pointa zůstává.

Ono se v devadesátých letech celkem trefně vtipkovalo na různá témata, hodně těch bohužel vtipů platí dodnes:

Air DOS
Všichni roztlačuji letadlo až se vznese, pak do něj naskočí a nechají letoun letět, dokud zase nespadne na zem. Pak znovu roztlačují, naskakuji znova a tak dále ...

Windows Air
Terminál je pěkný a barevný, stewardky jsou přátelské, odbavení je snadné, start je plynuly. Asi po 10 minutách ve vzduchu letoun bez varování exploduje.

Windows NT Air
Stejně jako Windows Air, ale dražší, používají o mnoho větší letadla a exploze zničí zároveň všechna letadla v okruhu 50 km.

To řešení fontů pochází z půlky osmdesátých let, a když ho porovnám s řešením fontů v poněkud novějším DOSu (když to o pár let později M$ konečně odněkud okopíroval), tak je to sněhobílá labuť proti kupě kravského lejna. A je zpětně kompatibilní dodnes, chtěl bych vidět jak font z DOSu 5 používáte v jehoVistách :-D
Ale hlavní je, že v jádře je to rychlejší, včetně rychlosti nabourání libovolným virem, kterých se sítí potulují miliony, co? Výhoda za všechny Gatesovy prachy, protože za chyby se platí (také jeden vtip z devadesátých)...

Už to nehulte. Řešení fontů v X11 je příšernost z půlky osmdesátých let, na tom se shodneme. Dál se vám to už nějak zamlžilo. MS podporu grafických fontů v DOSu vůbec neměl. Bitmapové i TrueType fonty z Windows 3.x můžete samozřejmě klidně používat i ve Windows 8. A v GDI byla za ty roky jediná kritická díra, což by se u open source vývoje jistě nestalo - bylo by jich daleko víc :)
http://fergdawg.blogspot.cz/2006/05/dhs-audit-flags-critical-x11-unixlinux.html
http://news.softpedia.com/news/Critical-Vulnerability-Silently-Patched-in-Linux-Kernel-152678.shtml

Jenže ono toho jde spustit mnohem víc než jen programy, takže díky M$ se dá dnes počítač zavirovat i písničkou nebo obrázkem. Tomu se říká pokrok :-D

Exploitovat lze jistě i chyby v obsluze multimédií. Konkrétně kodeky jsou podle mě pěkný cíl pro malware. Nicméně nějak nevidím to spouštění obrázků a písniček.