Skynet2015 написал: А как удаленно подрубится к системе для начала?
Дыр с выполнением кода на целевой системе находят дохр№нище. Речь как и про сам Linux, так и при приложения работающие на нем.
Да и не всегда нужно это делать удаленно. Взять офисный комп с Linux на борту. Решил уволиться с работы, получил права root, пришел домой - зашел по ssh, данные потер на рабочем компе и все!
Страшно подумать, если Linux на компе года 2 постоит. За это время разрабы откажутся от поддержки текущего дистрибутива и останется выбор или сидеть на неподдерживаемом старье или переползать на более новый. А за 2 года не Linux будет а решето.
Прыгать каждые пол года на новую версию Убанты будут только задроченные люди. Простым пользователям это зафиг не надо. Как итог процентов 70% Linux компов будут потенциально уязвимы.
Skynet2015 написал: А как удаленно подрубится к системе для начала?
1) Сделать простой скринсейвер с названием "с...ки дня", где и разместить вышеуказанную строчку. 2) Мантейнеры, которые как известно болт кладут на проверку того, что кладут в репы, выложат это в репозитарий. 3) Ололокающая школота будет пялится на с...ки и рассказывать по форумам, про "нет вирусов" и "все работает". ...... PROFIT
Чтобы получить права root надо для начала совет дня отключенный включить, который без рута не запускается. Замкнутый круг. Только одмин может это. По крайней мерех ухнают кому ата-та при утечке данных сделать. Да и всегда можно сделать заперщение удаленного доступа по ssh что с паролем root, что без него.
Luca написал: Страшно подумать, если Linux на компе года 2 постоит. За это время разрабы откажутся от поддержки текущего дистрибутива и останется выбор или сидеть на неподдерживаемом старье или переползать на более новый. А за 2 года не Linux будет а решето.
Ну так или иначе обновление в лиеуксе еще никто не отменял это раз. Во вторых дистры-где-все-работает-искаропки обновляются максимум за час. В четвертых дистры еще от 3 месяцев до полгода поддерживаются. Как то так.
Luca написал: Прыгать каждые пол года на новую версию Убанты будут только задроченные люди. Простым пользователям это зафиг не надо. Как итог процентов 70% Linux компов будут потенциально уязвимы.
Ну Убунта LTS не поможет, не? Как раз 2 года поддерживается. И никакой задрочки.
Luca, обновляется убунта автоматически. Вышел новый релиз -- в update-manager'е появилось сообщение "вышел новый релиз xx.yy [обновить]". Юзер щелкает и обновляется до новой версии. Я так с 9.10 до 10.04 без проблем обновился.
А если у юзера нет интернета, чтобы качать обновления -- так чего ему бояться уязвимостей в ядре, если ломают ядро через этот самый интернет?
1) Сделать простой скринсейвер с названием "с...ки дня", где и разместить вышеуказанную строчку. 2) Мантейнеры, которые как известно болт кладут на проверку того, что кладут в репы, выложат это в репозитарий. 3) Ололокающая школота будет пялится на с...ки и рассказывать по форумам, про "нет вирусов" и "все работает". ...... PROFIT
А теперь... попробуйте это сделать Нет, серьёзно. Вытут так всё хорошо описали, вот только без практики вы сами-знаете-кто.
d1337r написал: ssh по дефолту не открыт. Нужно скачать ssh-сервер, чтобы он был доступен.
Вот и я о чем же. Такой взлом производится в 2 этапа: 1. Идем к человеку домой, бъем ему в морду, добавляем строчку эту. Уходим. 2. Через 2 дня возвращаемся, бьем в морду, заходим на его комп и чувствуем себя хакиром.
Кстати, насчет разнообразного тестирования Убунты для выяснения предпочтений пользователей:
"... The dual-boot, web-focused use case is sufficiently different from general-purpose desktop usage to warrant a fresh look at the way the desktop is configured. We spent quite a bit of time analyzing screenshots of a couple of hundred different desktop configurations from the current Ubuntu and Kubuntu user base, to see what people used most. We also identified the things that are NOT needed in lightweight dual-boot instant-on offerings...
Посмотрите всякие needs-packaging на launchpad'е и увидите, что засунуть свой софт в репозитории Ubuntu (и то не main, а universe) не так просто. В Main только проверенный лично Canonical'ом софт. В Universe софт только свободный (и опять же, засунуть свой код непросто). В Multiverse софт несвободный (флеш, например), в PPA его никто не проверяет, но извиняюсь, EXEшники с инета тоже никто не проверяет.
d1337r написал: В Multiverse софт несвободный (флеш, например), в PPA его никто не проверяет, но извиняюсь, EXEшники с инета тоже никто не проверяет.
Все правильно - но тут можно в этот софт засунуть повышение привелегий. Также всегда преподносилось, что репозитарий - безрпасный источник софта. А тут вы сами говорите, что никто не проверяет.
Да и фейл Гугла тоже помнить надо. И Апач с трояном. И плагин для ФФ затрояненый итд.
Manve написал: We spent quite a bit of time analyzing screenshots of a couple of hundred different desktop configurations from the current Ubuntu and Kubuntu user base, to see what people used most.
Mark Suttleworth написал: We spent quite a bit of time analyzing screenshots of a couple of hundred different desktop configurations from the current Ubuntu and Kubuntu user base, to see what people used most. We also identified the things that are NOT needed in lightweight dual-boot instant-on offerings. That provided us both with a list of things to focus on and make rich, and a list of things we could leave out.
Как бэ не об этом, не:
Manve написал: Skynet2015, я же не говорил, что Я могу это сделать - я всего лишь показал вариант как это можно использовать.
Да много что можно сделать. Только почем то никто не делают, одно бля-бля-бля, спорим, что сейчас будет такая цитата
Цитата: Естественно, кому нужно инфицировать систему, юх№ров которой только процент
Хосспадя! Ну какой жеж унылый вброс. Процтитрую себя же в том же топике. Или читаем только заголовки,. не?
Цитата: Это ИМХО бред. Потому что, и в выньмобайле и в симбе есть такие же программы. Например клавиатуры, которые хр№н знает что посылают на сайт производителя. Сервисы гугла и бинга, проги компании СПБ, да даже Опера, которая тоже при посещении сайтов собират куда пользователь ходил. И что дальше? Ботнетов и вирусов нет.
Мдя оперативность у вас тут. Обновление для закрытия этой уязвимости вышло ещё до того как эту новость на Opennet опубликовали, а тут новость появилась на два дня позже. Какой смысл её обсуждать?
Цитата: Да и не всегда нужно это делать удаленно. Взять офисный комп с Linux на борту. Решил уволиться с работы, получил права root, пришел домой - зашел по ssh, данные потер на рабочем компе и все!
Maddoc написал: Дыры в симбе делают Андроида безопаснее?
Нет просто ниада писать, что в Ондроеде программа может посылать СМС!!!!11111 адынадынааын Вот и все. Да и гуглевские продукты изначально всегда выходили дырявыми. Возьми хром тот же самый.
Цитата: После входа под логином текущего пользователя по ssh или через консоль:
песец, что за уязвимость...
Цитата: Настало время, когда любой школьник может взломать Linux в 2 счета
школьники входят по ssh или через консоль, на папину п#рнуху
Цитата: Суть проблемы связана с некорректным созданием файла motd.legal-notice в процессе активации pam_motd, который создается без надлежащих проверок в домашней директории пользователя процессом с правами root
но самое главное! новость о том, что что теперь каждый школьник может..во
Цитата: A security issue affects the following Ubuntu releases:
Ubuntu 9.10 Ubuntu 10.04 LTS
This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the following package versions:
Ubuntu 9.10: libpam-modules 1.1.0-2ubuntu1.1
Ubuntu 10.04 LTS: libpam-modules 1.1.1-2ubuntu5
In general, a standard system update will make all the necessary changes.
отправилось..само... короче новость что теперь каждый школьник может..типо... войти по ssh... взята из мейллистов, где эта уязвимость, што каждый школьник...сообщается как причина нового обновления безопасности. школьники короче даже не успели узнать, что они уже, как говорит, лука - могут...
Maddoc написал: Дык [u=http://www.lenta.ru/news/2010/06/23/suspicious/]2 процента могут посылать SMS без ведома пользователя, в том числе на платные номера.[/u] Ложь?
У вас что вирус уныния шоле?
Skynet2015 написал: Нет просто ниада писать, что только в Ондроеде программа может посылать СМС!!!!11111 адынадынааын Вот и все. Да и гуглевские продукты изначально всегда выходили дырявыми. Возьми хром тот же самый.
Skynet2015, для этого надо разрешить вход root по ssh. админы этого делать не будут, что касается пользователей, то они тем более не будут, ибо не знают, как.:)
elf написал: Skynet2015, для этого надо разрешить вход root по ssh. админы этого делать не будут, что касается пользователей, то они тем более не будут, ибо не знают, как.:)
hodok78 написал: Ну почему унылая?Сейчас с кем нибудь посремся!Причем тут линукс?Линукс это повод,а не цель!
Как в воду глядел, и даже ни с кем то а с самим Лукой. Идеолгом сайта:
Luca написал: Разработчики Ubuntu могут гарантировать пользователю, что при обновлении функционал системы не изменится?
Нет конечно, так же как и не могут гарантировать разработчики винды. Но я 3 раза уже переходил на новые релизы убунтыша, функционал, а так же настройки (окромя пульаудио) установленных и настроенных прог/сервисов не менялся.
Luca написал: Дыр с выполнением кода на целевой системе находят дохр№нище. Речь как и про сам Linux
Ой врете.Использовать приведенною вами уязвимость для выполния кода возможно лишь теоритически -вероятность мала, да еще и sctp - очень популярная штука, да.
Цитата: roo, а что в этом плане может предложить Linux/BSD?
медленно эволюционируя(хотя я уже сейчас считаю убунту куда более комфортной чем хр), дойти до того состояния, когда я стану считать, что убунта комфортней любого форка виндовс. а личиное мнение тут определяющее.
есть такая фишка в терии любых систем как насыщение. когда те же успехи необходимо достигать все большими и большими усилиями. для виндовс настуило насыщение. в реальности ничего на перспективу они предлождить не могут, поскольку перспективы просто нет. наступает стагнация. переход на оборонительные позиции и трудная окопная война.
новость и никогда не была новостью, но пианеры до сих пор пытаются войти по ssh. пароль пока не подобрали...впрочем имя юзера-тоже. еще сорок тыщ ведер и они ворвутся в папину убунту.
Заплатки уже выпустили. Пользователи обновятся и все будет путем. Но лично я не пойму смысл включенного по умолчанию PAM. P.S. Пользователям Windows придется ковырять ядро: http://www.securitylab.ru/vulnerability/395464.php
Цитата: Что значит в плане аппаратных возможностей?Нет, он не станет в 100500 раз быстрее.
поправка: в плане использования аппаратных возможностей. roo несколько витиевато выразился, но в общем смысл его слов можно свести к следующему: линукс в состоянии более эффективно использовать близкие к пределу (как повествует тов. roo) аппаратные возможности бюджетных компьютеров.
Цитата: А как удаленно подрубится к системе для начала?
Ну вот я сижу на фермах JLab, МГУ, FermiLab. И дайте мне чуток больше неуравновешенности и дырку - сделаться рутом - и ааааах...
Правда, справедливости ради, надо сказать, что убунта там и не стоит. Стоит ScientificLinux, рхат, федора 7-8 и другой зоопарк, который в совмещении старья и новья - не знает равных))))
Мой знакомый и, так сказать, напарник - настоящий, 100%-ный красноглазый демон (программер на С, сборщик генту, анимешник, физег, и т.д. - ну по полной программе), клянет на чем свет стоит бубунты. И я полностью с ним согласен (хотя я линупсом пользуюсь только потому, что деваться некуда) - не в том сила юних и линупс систем куда тащат их убунты.
Ну получите вы клон виндовса, только с пристарелыми и кривыми стандартами. Виндовс сам не идеален, но зачем тащить под него ваши бубунты? Уж оставались бы уникумами... Срацо на форумах было бы удобнее, чем сейчас))
Tiphon написал: Ну вот я сижу на фермах JLab, МГУ, FermiLab. И дайте мне чуток больше неуравновешенности и дырку - сделаться рутом - и ааааах...
Правда, справедливости ради, надо сказать, что убунта там и не стоит. Стоит ScientificLinux, рхат, федора 7-8 и другой зоопарк, который в совмещении старья и новья - не знает равных))))
Мой знакомый и, так сказать, напарник - настоящий, 100%-ный красноглазый демон (программер на С, сборщик генту, анимешник, физег, и т.д. - ну по полной программе), клянет на чем свет стоит бубунты. И я полностью с ним согласен (хотя я линупсом пользуюсь только потому, что деваться некуда) - не в том сила юних и линупс систем куда тащат их убунты.
Ну получите вы клон виндовса, только с пристарелыми и кривыми стандартами. Виндовс сам не идеален, но зачем тащить под него ваши бубунты? Уж оставались бы уникумами... Срацо на форумах было бы удобнее, чем сейчас))
roo ты? Перешел на виду???? Ну ладна: Фишка нумбер раз - школьники знают обо всех этих уязвимостях? Фишка нумбер два - ssh закрыт Фишка нумбер три - дыра закрыта Фишка нумбер четыре - ненинтересна
roo написал: софт по обработке данных пишут сами физеги. и никто им тут не поможет, ни бубунта, ни винддовс ни научный линух.
Так разве же я с этим спорю. Но, ты конечно не поверишь, когда я сажусь с этим софтом под ROOT на С++ - я просто плачу от того, когда понимаю сколько у меня времени ушло на кодинг по сравнению с тем, как можно было бы это сделать на C#.
А физеги - да, они пишут сами свое ПО и по большей части - такая лажа получается. Но это, кстати, концепция линухи))
hodok78 написал: Luca,а что ты под этим подразумеваешь?Ну какие-то фишки бывает добавляет обновление.Что конкретно интересует?
Разработчики вполне могут добавить новый формат, убрать старый формат или изменить функционал приложения на свое усмотрение. Если человек работает за компьютером, а не просто ходит по инету через FireFox это может вызвать большие проблемы вплоть до остановки работы.
по теме ничего не было сказано после первой страницы. тему закрываю. Update от Svart Testare: темы почищена от мусора и оффтопика. Товарищу Skynet2015 — особое предупреждение за злостный флуд, оффтопик, постинг картинок с руганью. Если подобная тенденция сохранится в будущих новостях, пользователь Skynet2015 будет полностью удалён и забанен навсегда. Товарищу roo тоже особое предупреждение за «сотрудничество» с нарушителем-рецидивистом Skynet2015. Остальным пока просто рекомендация воздержаться от разжигания с№чей и поддержания постингов не по теме новости.
#1.Luca