Linux Nie Ma Mniej Dziur Niż Windows

[VIPserv.org 4]

czesto słychać ludzi wychwalających linuxa używajac argumentu że linux ma o wiele mniej dziur i błedów niż windows. Że windows to co tydzień ma nową poprawke łatająca dziury w zabezpieczeniach itd. Gdy słysze coś takiego zawsze pytam się tej osoby jakiej wersji kernela używa jej linux. Przeważnie wtedy zapada cisza i jest konsternacja, no osoba ta zazwyczaj nie wie nawet czym jest kernel. Otóż kernel to jądro każdej dystrybucji linuxa, a wg mojego rozumowania to własnie jest sam linux czyli system oparty na unixie. W tymże kernelu średnio co 4 dni wprowadzane są nowe poprawki. Aby się o tym przekonać wystarczy zajrzeć na www.kernel.org. Duzo z tych poprawek jest łatami dosyć krytycznych błedów w zabezpieczeniach systemu (najbardziej krytyczne poprawki związane są z obsługa trafficku sieciowego np na tcp/ip i przez to modułach jak netfilter).

Linux rozprowadzany jest w formie dystrybucji komercyjnych i nie, ale wszystkie oparte są na kernelu. Nowe wersje dystrybucji rozprowadzane są rzadko, a moduły autoaktualizacji jak yum i takie tam maja dostep do nielicznych wersji kernelów. Tak więc instalujac dana wersje dystrybucji instalujemy juz dawno przestarzala wersje kernela w ktorej zostalo znalezionych setki krytycznych bledow od czasu jej wypuszczenia, a zadne autoaktualizacje nie pomoga jesli nie skompilujemy sobie wlasnego swiezego kernela.

 

Więc czemu uwaza się ze linux ma malo błedów i dziur? To pewnie dlatego że microsoft w swoim windows ciągle wypuszcza łatki i o nich informuje, natomiast dystrybucje linuxa maja to gdzies. Nie zalezy im na poprawkach, bo zmuszczenie do uaktualnienia kernela uzytkownikow ich dystrybucji moglo by sie skonczyc fatalnie dla wiekszosci. A to wszystko z powodu tego ze linux sklada sie z wielu(setek/tysiecy) programow dzialajacych na sobie, zaleznych od siebie itd. gdy wykryty zostal blad w najnizszej powloce czyli kernelu to jej zmiana moze zburzyc wszystko co stoi na niej (ale oczywiscie nie musi tak tylko gadam). w windows mamy mozliwosc doinstalowania poprawek bez przerywania pracy, a poprawki nic ci nie zepsuja.

 

czy ja chwale windowsa? nie. windows to komercyjny produkt i nie ma porównania z linuxem. Zespół robiący kernela od wielu lat robi to swietnie i za darmo (opensource), a inni ludzie uzywaja ich pracy do zarabiania pieniedzy (komercyjne dystrybuje). Jedyne co nie do konca mi sie podoba to support swiadczony przez dystybuje linuxa, w szczegolnosci te komercyjne. Nie urasta do piet fundamentom na ktorych stoi czyli kernelu...

 

czy ja mowie ze linux nie jest bezpieczny? nie. Linux ma wbudowany szereg mozliwosci bezpiecznego uruchamiania serwerowych aplikacji o ktorych windows moze tylko marzyc. mechanizmy su, uprawnienai unixowe itd itd to wszystko jest bardzo przydatne i wszystko za darmo.

 

twierdze tylko ze w linuxie znajdowane jest duzo wiecej dziur niz w windowsie, ale takze ciagle sa poprawki. Jednak tylko nieliczni korzystaja z tych poprawek na bierzaco...

 

sorry za wszystkie bledy ktore popelnilem powyzej - ortografia,skladnia i wszystko. ten post zostal napisany pod wplywem chwilowego impulsu, nie bede sie wracal zeby cos poprawiac w nim

[ednet 136]

Temat linuxa jest "trendy" i dlatego wiele osob powtarza zaslyszaną opinię o nim i powtarza bez jej zrozumienia. Wiele takich osób nie wie ze po instalacji trzeba linuxa dodatkowo zabezpieczyc i uzywają systemu np bez firewalla itp.

Dodatkowo jest moda na narzekanie na Microsoft a wychwalanie linuxa. Osobisie uzywam na serwerze linuxa i freebsd a na desktopach windowsa XP.

Uwazam ze po zabezpieczeniu i Windows i Linux jest bezpieczny.

 

Ed

[VIPserv.org 4]

no tak, tyle ze ten tzw 'firewall' to lista reguł dla iptables-netfilter, który to z kolej działa na podstawie modułu netfilter zainstalowanego w kernelu. I tutaj wracamy do poczatku. Bez wzgledu na zastosowane reguły w 'firewallu' jesli znajduja sie dziury w nim (w nim czyli module w kernelu) to moze byc teoretycznie zle.... a dziury w netfilter sa takze czesto znajdowane, np cos miedzy 10-20 maj pamietam byla wykryta dziura ostatnio...

[hyhyhy 0]

Dlatego nalezy byc na bierzaco z aktualizacjami ;-) Pozdr.

[shive 0]

LOL, nand. Widać, że kompletnie nie rozumiesz na czym polega różnica w biezpieczeństwie między tymi systemami... A już fragment o setkach krytycznych błędów kernelu (oczywiście przestarzałym) po prostu zwala z krzesła.

[Mylith 0]

Różnica polega na tym iż Linuxa da się zabezpieczyć, a większość krytycznych błędów jest łatana na bieżąco, natomiast w Windowsie jak były luki tak są, a wydawane łaty ich nie naprawiają (niektórych luk w dalszym ciągu nie załatano).

[shive 0]

To akurat są te mniejsze różnice. Większy zysk linucha wynika z drastycznie mniejszej podatności na replikację wirusów między systemiami... no i znacznie łatwiej jest opanować dużą liczbę stacji windowsowych, bo zwykle są one znacznie bardziej "szablonowo-standardowe".

[p 3]

LOL, nand. Widać, że kompletnie nie rozumiesz na czym polega różnica w biezpieczeństwie między tymi systemami...

To moze wytlumaczysz? I nie, 'LOL' nie jest zadowalajaca odpowiedzia. 'Bo Microsoft jest be' tez nie jest.

[Duna 0]

Omg po co nastepny tego typu temat ?. Przeciez to juz bylo walkowane 100000 razy.

 

To akurat są te mniejsze różnice. Większy zysk linucha wynika z drastycznie mniejszej podatności na replikację wirusów między systemiami... no i znacznie łatwiej jest opanować dużą liczbę stacji windowsowych, bo zwykle są one znacznie bardziej "szablonowo-standardowe

 

Bzdury... poprostu o wiele wiecej urzytkownikow korzysta z systemow Windows. Co za tym idzie potencjalnemu kolesiowi co pisze wirusy bardziej sie oplaca napisac cos co wykorzystuje dziure w windowsie niz cos w linuxie ?. Nie dla tego, ze linux jest bardzoej bezpieczny :DDD. Tylko dla tego, ze przeliczajac ilosc urzytkownikow tych systemow ma pewnosc, ze jesli na pisze na windowsa to 1000x wiecej urzytkownikow zarazi(zapomnieli zrobic update, nie maja zadnych programow anty-wirusowych itp).

 

Gdyby ktos napisalrobaki pod linuxa, ktore wykorzystuja mase najnowszych dziur to sytuacja tez byla by podobna tylko, ze w owiele mniejszym zakresie. Bo komputerow pod linuxem jest malutko. Wielu administratorow linuxowych zapomina o update softu tak samo jak ich windowsowi odpowiednicy.

 

Windows dla rozwiazan serwerowych jest bardzo dobrym systemem(win2003). MSSQL bije wydajnoscia na glowe wszystko co mozesz znalesc po linuxa. Te dwa typy systemow sa ogolnie do roznych zastosowan. Win znajduje swoje miejscie w firmach programistycznych, finansowych, telekomunikacyjnych, ktore moga sobie pozwolic na wykupienie licencji itp. Linux to poprostu tanie zastepstwo cisco lub tani system dla malych firemek , ktore trudnia sie hostingiem.

[shive 0]

Gdybyś miał jakiekolwiek pojęcie o tym, o czym piszesz, to może warto by było z tobą podyskutować.

[Duna 0]

Gdybyś miał jakiekolwiek pojęcie o tym, o czym piszesz, to może warto by było z tobą podyskutować.

Spodziewalem sie wlasnie takiego typu odpowiedzi gratuluje

[shive 0]

Skoro nie rozumiesz w ogóle różnicy w architekturze i samych jednostkowych instalacjach systemów to po co tracić czas na tłumaczenie? Jesteś typowym przykładem gościa, któremu "kumpel powiedział...". Walisz takie głupoty w każdym zdaniu że się słabo robi. A już tekst o tanim zastępstwie... ROTFL^2.

 

No dobra, ale czego więcej się spodziewać po kimś, kto potrafi zrobić orta pierwszego stopnia w dość popularnych wyrazach i jest myślowo ograniczony wyłącznie pojęciem ilości użytkowników.

[p 3]

shive: sorki, ale to chyba Ty tutaj czegos nie rozumiesz.

I zebym zaraz nie byl 'nastepnym, ktory nie ma jakiegokolwiek pojecia', nie wiem... Moze poczytaj przed dalszym odpowiadaniem w tym watku wypowiedzi Kaspersky'ego na temat ilosci wirusow na konkretne platformy i powodow takiego, a nie innego stanu rzeczy. Albo chociazby informacji o Virus.Linux.Bi.a/Virus.Win32.Bi.a. Bo co jak co, ale ROTFL'owanie (czy tam nawet ROTFL'owanie^2) z ludzi, ktorzy (przynajmniej na podstawie wypowiedzi w tym temacie) maja wieksze pojecie o bezpieczenstwie niz Ty jest troche nie na miejscu.

[shive 0]

No taaak, przecież firmy używają linucha bo nie stać ich na licencję pod windowsa. A znacznie większa odporność na przenoszenie zarażenia między komputerami to już totalna bzdura, nie? Kaspersky może sobie pisać co chce, wirusy *działające* pod linuksem były zawsze, co nie zmienia faktu, że nie mają większych szans się rozprzestrzenić, nawet gdybyś w jednej chwili odwrócił proporcje między popularnością systemów. Wirus może i przejdzie przez kilka maszyn, a na pierwszej lepszej padnie z powodu rozbieżności konfiguracji, co jest normalne pod linuksem, a pod windą już *znacznie* mniej.

[p 3]

nie mają większych szans się rozprzestrzenić, nawet gdybyś w jednej chwili odwrócił proporcje między popularnością systemów. Wirus może i przejdzie przez kilka maszyn, a na pierwszej lepszej padnie z powodu rozbieżności konfiguracji, co jest normalne pod linuksem, a pod windą już *znacznie* mniej.

A mozesz mi powiedziec jakiej to konfiguracji systemu wymaga wirus, zeby moc sie dalej rozprzestrzeniac?

[VIPserv.org 4]

Wirus może i przejdzie przez kilka maszyn, a na pierwszej lepszej padnie z powodu rozbieżności konfiguracji, co jest normalne pod linuksem, a pod windą już *znacznie* mniej.

 

Autor prawdopodobnie za duzo patrzył na output gcc podczas kompilacji Pewnie za duzo programów komilował w wersji modułowej nie statycznej i dlatego myśli ze nie ma na linuxa programów które działaja relatywnie niezaleznie od otoczenia - 'konfiguracji'. Jeśli dany program jest skompilowany statycznie to bedzie działał na wszystkich linuxach po prostu. Myślisz ze autor wirusa po mozonym wielogodzinnym pisaniu wirka skompiluje go modułowo?

To że na windowsy programy dytrybuuje się w formie binarków już skompilowanych nie znaczy że na linuxa tak nie mozna robić

 

no ale nic. Miała być dyskusja na luzie, a tutaj widze klasyczne internetowe obrzucanie sie różnymi niemiłymi uwagami

[itb 0]

instalujemy juz dawno przestarzala wersje kernela w ktorej zostalo znalezionych setki krytycznych bledow od czasu jej wypuszczenia, a zadne autoaktualizacje nie pomoga jesli nie skompilujemy

 

moglbys podac przyblizona ilosc krytycznych bledow w kernelu linuxa w ciagu ostatniego roku?

(uznajac za blad krytyczny blad pozwalajacy lokalnemu userowi uzyskac root'a)

[mancin 0]

powodu rozbieżności konfiguracji, co jest normalne pod linuksem

Wydaje mi się,ze tu tkwi całe sedno - ile linuxów tyle konfiguracji, trzeba by napisac szalenie "inteligentnego" wirusa,zeby nie padł pod nietypową konfiguracją

[alien 345]

Linux to poprostu tanie zastepstwo cisco lub tani system dla malych firemek , ktore trudnia sie hostingiem.

 

Nie przesadzajmy, najwazniejsze firmy z sektora finansow i bankowosci w krytycznych systemach korzystaja jednak chetniej z Unixow (pozwolilem sobie rozszerzyc) - z reszta takze z tego prostego faktu, ze architektura sprzetowa wspierana przez Windows jest dosc uboga. Bede tez sklonny bronic stanowiska, ze Unixowi blizej do systemow do duzych i profesjonalnych zastosowan. Ba, calkiem niezle ma sie Linux na mainframe'y, co tez pewnie o czyms swiadczy, bo bez popytu nie byloby podazy.

 

Z drugiej strony, rzeczywiscie w wielu firmach obserwuje sie teraz mode na Windowsa. Do tego stopnia, ze wystarczy obecnie napisac w ofercie o wykorzystaniu w projekcie .NET, ASP.NET, C# i w zasadzie ceny mozna podniesc n razy w stosunku do tego samego projektu zbudowanego w oparciu o otwarte rozwiazania (Linux&PHP), a popyt dalej bedzie. Co wazne - takie rozwiazanie sprawdzi sie niekoniecznie gorzej w przecietnych rozwiazaniach korporacyjnych. A co by nie mowic o MS, to .NET niesie wiele udogodnien dla duzych projektow programistycznych (choc osobiscie za VS nie przepadam).

 

Nie marginalizowalbym wiec Windowsa. Z reszta fakt, ze banki do obslugi bankomatow chetnie wybieraja Windowsy - tez o czyms swiadczy. Inna sprawa, ze ubaw nie raz juz mialem, ogladajac wyjatek krytyczny na ekranie bankomatu ;-).

 

Jeszcze inna sprawa to sama architektura systemow. Juz o wirusach i dziurach samych w sobie wspominac nie bede. Ale ogolne zalozenia bezpieczenstwa w Windows i Linux to niebo i ziemia. I to nawet nie trzeba wdawac sie w analizowanie jader. Wystarczy chocby przyjrzec sie implementacji obslugi procesow i jak piekne exploity na tym poziomie mozna robic na Windowsa.

 

Zdaje sie wiec, ze pozostalem troche posrodku, ale to po to, aby stonowac troche dyskusje. Racja poniekad jest po obu stronach. Osobiscie jestem zwolennikow Linuxa i innych pochodnych Unixa, ale do pewnych zastosowan bedzie sie tez sprawdzac Windows i monopol Linuxa bylby tu tak samo szkodliwy jak monopol Windowsa.

 

A co do ilosci bledow w kernelu w ostatnim czasie, bo ktos o tym wspomnial... Proponuje przyjrzec sie w tym wzgledzie kernelowi 2.4. Duza ilosc lat na 2.6 wskazuje co najwyzej na to, ze bylbym ostrozny z traktowaniem tego kernela juz jako stabilny na maszyny o znaczeniu krytycznym. Znam takich, ktorzy na maszynkach uzywaja wciaz jeszcze 2.2 z ipchains. Prawdopodobnie dawno juz powazniejszymi sprawami zajeli sie tacy, ktorzy byliby w stanie to skutecznie wyeksploitowac ;-).

 

Z reszta to tez jest metoda. Jak ktos chce radykalnie podniesc poziom bezpieczenstwa (w sensie zmniejszenia prawdopodobienstwa ataku), to nie uzywa ani Windows, ani Linux, ale jakiegos Open VMS czy jeszcze bardziej egzotyczne cuda (i to najlepiej na rownie egzotycznej platformie). Ilosc ludzi, ktorzy beda w stanie to skutecznie polaskotac jest duzo nizsza. Ale to juz zupelnie inna bajka.

[VIPserv.org 4]

moglbys podac przyblizona ilosc krytycznych bledow w kernelu linuxa w ciagu ostatniego roku?

(uznajac za blad krytyczny blad pozwalajacy lokalnemu userowi uzyskac root'a)

 

od 20 do 60. oczywiscie nei wystarczy napisac su zeby dostac roota dzieki błedowi są to błedy trudne do exploitacji. przykładowy

 

commit 4f9619cdd90ac846fa0ca6e9e8a9d87a0d6b4f57

Author: Greg Kroah-Hartman <gregkh@suse.de>

Date: Thu Jul 6 13:02:28 2006 -0700

 

Linux 2.6.17.4

 

commit 0af184bb9f80edfbb94de46cb52e9592e5a547b0

Author: Greg Kroah-Hartman <gregkh@suse.de>

Date: Thu Jul 6 13:02:05 2006 -0700

 

fix prctl privilege escalation and suid_dumpable (CVE-2006-2451)

 

Based on a patch from Ernie Petrides

 

During security research, Red Hat discovered a behavioral flaw in core

dump handling. A local user could create a program that would cause a

core file to be dumped into a directory they would not normally have

permissions to write to. This could lead to a denial of service (disk

consumption), or allow the local user to gain root privileges.

 

Signed-off-by: Greg Kroah-Hartman <gregkh@suse.de>

A co do ilosci bledow w kernelu w ostatnim czasie, bo ktos o tym wspomnial... Proponuje przyjrzec sie w tym wzgledzie kernelowi 2.4. Duza ilosc lat na 2.6 wskazuje co najwyzej na to, ze bylbym ostrozny z traktowaniem tego kernela juz jako stabilny na maszyny o znaczeniu krytycznym. Znam takich, ktorzy na maszynkach uzywaja wciaz jeszcze 2.2 z ipchains. Prawdopodobnie dawno juz powazniejszymi sprawami zajeli sie tacy, ktorzy byliby w stanie to skutecznie wyeksploitowac ;-).

 

No pewnie ze duzo mniej poprawek ma kernel 2.4. Pewnie dlatego ze nikt go juz nie testuje, a gdy zwykły uzytownik zgłasza problem, autorzy odpowiadaja ze problem został zaadresowany w kernelu 2.6 albo wogóle. 2.4 jest martwy a 5/6 błedów w kernelu 2.6 dotyczy także 2.4

[alien 345]

No pewnie ze duzo mniej poprawek ma kernel 2.4. Pewnie dlatego ze nikt go juz nie testuje, a gdy zwykły uzytownik zgłasza problem, autorzy odpowiadaja ze problem został zaadresowany w kernelu 2.6 albo wogóle. 2.4 jest martwy a 5/6 błedów w kernelu 2.6 dotyczy także 2.4

 

No tak, ale mnie bardziej chodzilo o porownanie czestotliwosci wypuszczania nowych wersji kernela 2.6 w porownaniu z np. 2.4 jeszcze przed wypuszczeniem 2.6. Roznica jest widoczna, szczegolnie ostatnie tygodnie byly zatrwazajace dla 2.6 ;-). Pomyslec, ze wiele dystrybucyjnych kernelow (np. z Sarge jako niby stabilne ;-)) jest wciaz daleeeeeeko w tyle. Stad osmielilem sie okreslic jadra 2.4 jako dojrzalsze anizeli 2.6. Ale nie bede przy tym bezwarunkowo obstawac :-).

 

Faktem jest, ze widzialem pare razy, ze w roznych krytycznych miejscach postawione sa kernele 2.2 i wiekszosc tego nie potrafila ruszyc bo nie umie, a obecne exploity tez sa na to "za nowe". Tak wiec latwosc exploitacji jednak ewidentnie idzie w parze z popularnoscia danego rozwiazania.

 

A ze wciaz wykrywane sa bledy w kazdej wersji - to oczywiste :-).

[itb 0]

od 20 do 60.

 

to juz nie kilkaset jak napisales wczesniej, ale i tak przesadzasz.

[hyhyhy 0]

głupi topic... wg mnie i innych linuxiarzy nie ma porownania... zadnego... spojrzcie na ubuntu... na mac os x... to jest coś... a nie, bug na bugu wychodzacy 20 razy dziennie... da sie zabezpieczyc tego winshita, lecz trzeba miec licencje... tak sie sklada, ze moj lap ma licencje, sciaga codziennie po kilkanascie aktualizacji... eh... nad czym tu dyskutowac to ja nie wiem... Pozdr.

[p 3]

głupi topic... wg mnie i innych linuxiarzy nie ma porownania... zadnego... spojrzcie na ubuntu... na mac os x... to jest coś... a nie, bug na bugu wychodzacy 20 razy dziennie... da sie zabezpieczyc tego winshita, lecz trzeba miec licencje... tak sie sklada, ze moj lap ma licencje, sciaga codziennie po kilkanascie aktualizacji... eh... nad czym tu dyskutowac to ja nie wiem... Pozdr.

1) Mac OSX pomimo swoich UNIX'owych korzeni tez niestety ma troche dziur.

2) 20x dziennie? Mozesz podac nazwy/ID tych bugow/poprawek?

3) Z tego co pamietam nie trzeba miec licencji - wszystkie krytyczne poprawki sa sciagane nawet bez (chociaz moge sie mylic). Poza tym chyba skoro masz Windowsa powinienes miec i licencje... Chyba nie promujemy tutaj piractwa?

4) Patrz 2) - mozesz podac nazwy/ID tych kilkunastu aktualizacji, ktore CODZIENNIE wychodza?

 

I zeby nie bylo, ze sie 'czepiam'... Wczoraj instalowalem Windowsa 2003 R2, ktory z tloczni wyszedl jakies 8-9 miesiecy temu. Windows Update sciagnal 33 poprawki (nie wszystkie krytyczne, ale nie robilem dokladnej analizy), wiec wychodzi mniej wiecej 1 poprawka / tydzien. A to jest wersja serwerowa systemu, czyli teoretycznie powinno byc wiecej do latania niz w XP. Tak wiec skad ty sciagasz tych kilkanascie poprawek dziennie?

 

O Linuxie sie nie wypowiadam, bo nie ma sensu

[hyhyhy 0]

Nie chce mi sie wypowiadac o winshicie, w sumie glowne poprawki sa na IE, ktorego oczywiscie nie uzywam. Tez tydzien temu instalowalem 2003 r2, w sumie cos kolo tego bylo tych poprawek, ale po prostu moim zdaniem, windowsa trzeba odpowiednio zabezpieczyc, by byl bezpieczny... lysy winshit to latwy konsek dla trojanow, spywerow etc... z mojej strony eot. Pozdr.