Názory k článku
Máte rádi porno a warez? Patříte k ohrožené většině

Jak by tyto statistiky vypadaly, kdyby se globálně používal místo Widlí jakýkoli Linux? Spam by nejspíš zůstal, ale co ostatní rizika?

Viry by se ve vetsi mire zacaly programovat pro linux ;) a zase by to bylo zalozeno na neznalosti/nepozornosti uzivatele.

Kdyz zapocitame i servery ...
A pocet znamych viru pro Linux - no, na prstech a mozna bez zouvani.

Když o Linuxu nic nevíte, tak se aspoň neztrapňujte šířením blábolů! Vyrobit malware pro linux je problematické a nacpat ho do počítačů lamám, používajícím pouze oficiální repozitáře prakticky nemožné. A kdo zná Linux do hloubky, dokáže si s jakýmkoli pokusem o infekci velmi rychle poradit.

Ten opravdu nepotřebujete, protože současný malware, který je určen především k tomu, aby se z vašeho stroje stal zombie, rozesílající spam se vám do počítače dostane bez toho, že byste si čehokoli všiml a o tom, že hostíte červa, vykrádajícího osobní data se dozvíte teprve tehdy, až vám z účtu záhadně zmizí peníze. Ty časy, kdy se jakákoli infekce snažila na sebe upozornit už jsou dávno pryč.

nebo tím že využijou nějakou chybu a dostanou se do počítače sami. (a to nemůžou, když jste za NATem)
Tak to jste fakt mimo. Stačí pár minut brouzdat s čerstvou instalací widlí na náhodných stránkách a toho vira prostě chytíte, firewall nefirewall. Bez toho, aby uživatel explicite cokoliv spouštěl.

no, ale to neznamená, že vy se k nikomu nepřipojíte... což je identický problém... zkus si udělat nějaký log, jaké pakety chodí z tvého počítače... kdokoliv na ně může odpovídat, čímž mám prostor pro zanesení čehokoliv...

Jenomže je blbost, aby se červ aktivně snažil připojovat na nějaký seznam IP adres. On si prostě bude čekat, až vy si otevřete spojení a jakmile to uděláte, tak můžete být třeba za tisícovkou NATů, ale ten červ k vám projde. Na většině linuxových maškarád je tohle zajištěno nějakým takovým pravidlem:

iptables -A FORWARD -i $extif -o $intif -m state --state ESTABLISHED,RELATED -j ACCEPT

tady to bude zas sama tykve iq. hadam podle toho, ze se cas vykotlanych dyni nebezpecne priblizil.

predpokladam, ze pointa clanku spociva v SOURCE ROUTING. jednom sysctl -w ipv4.all.accept_source_routing = 0 ktere ani nemusite delat, protoze snad uplne vsechny kernely a distra maji source routing implicitne vypnuty a je na uzivateli pokud posoudi, ze ho potrebuje k zivotu, zda zapnout, ci ne.

NAT != FIREWALL,
to ze jste za NATem vam nijak nepomuze...

No a co máte za NAT? nějakou škatuli od ISP? Router od Ovislink? A že tam má provider přístup přes defaultní heslo? A že nejde prostřelit NAT? Probuďte se!

Na Vas nazor ohledne NATu se da rici jen: "Ach ta sladka nevedomost" ;-) Vyzkousejte si nejprve neco precist o zpusobech sireni dnesnich viru a malware. ;_)

"za NATem" znamena, ze se nikdo nedokaze TCP spojit smerem k vam. Hacknuti routeru nepocitam, protoze se bavime o pracovni stanici. Mozna v nejakem konkretnim pripade existuje zpusob, jak NATem proniknout, ale neumim si predstavit automat typu "vir" ktery takove pruniky bude delat automatizovane. Jeste si tak umi predstavit, ze k vam skrz NAT nekdo propasuje nejakej ten UDP paket, ale TCP jen velmi tezko.


Za natem chytnete vir tak, ze se deravim prohlizecem podivate na nejakou stranku, ktera tuto diru vyuzije k nainstalovani neceho. Kdyz nainstalujete ciste Windows a pripojite ho za NAT k internetu, pochybuju ze jen tak samovolne chytnete vir.

Daleko lepší než prohlížeč je email. Tam už si ani nemůžete dost dobře vybrat, co vám kdo pošle, a když využije chybu v rutině na parsování MIME, tak email nemusíte ani otvírat. Stačí otevřít schránku, v které ten nakažený virus je. Samozřejmě to není jediná varianta...

NAT pomůže jedině v případě, že nebudete spouštět (ani implicitně) žádný program na data stažená z Internetu. Kvůli Harvardské architektuře drtivé většiny dnešních počítačů (a zcela všech, o kterých se píše v článku) totiž není v principu rozdíl mezi daty a kódem. Jenomže, pokud opravdu nehodláte použít nic staženého z Internetu jako vstup pro nějaký software, tak můžete zvolit i zcela bezpečné, ba ultimátní řešení: odpojit počítač (či celou LAN) od Internetu.

Jako bonus ještě ušetříte za poplatky ISP. ;-)

Nojo, jenomže všechny současné prohlížeče jsou děravé. Rozdíl je jen v tom, že některé díry jsou veřejně známé (to jsou zpravidla ty, na které už vyšla aktualizace), zatímco jiné jsou známé zatím jenom tvůrcům virů (na ty aktualizace teprve vyjde).

Nebo jsem něco špatně pochopil?

To samé platí pro MS Windows. Kdo zná MS Win do hloubky, dokáže si s jakýmkoli pokusem o infekci velmi rychle poradit. Jenže problém je ten, že takových je jen zanedbatelné procento, zbytek kliká a spouští. Pokud někdy Linux ovládne desktop, dopadne to podobně.

Zase tak podobně by to nedopadlo. Ovšem pokud teda nejste standardní tupec co si myslí, že Ubuntu=GNU/Linux. Ty vektory útoku by byli poněkud jiné...

jo. do shellcodu by se pridalo sudo root bez hesla a vse dal by fungovalo jako doposud.

Nemyslim si, ze by to bylo az tak velky problemem. Pocinaje sitovymi utoky na nedostatecne zabezpecene TFTP servery a jejich demony s nedostatecnymi omezenimi, nevhodne nastavene NFS exporty (typicky squid), napadeni nezabezpecenych grafickych serveru (ve vychozim nastaveni X server nasloucha externim klientum na portu 6000), napadnout lze OpenSSH (metod je cela rada), útoky lze vest proti sitovym klientum (znama sveho casu byla zabugovanost - ve smyslu zranitelnosti - programu pine), starsi verze programu curl trpely na preteceni bufferu, prostrednictvim starsi verze GnuPGP bylo mozne otevrit sitovy soket na portu 16705 a na nem spustit shell...
Tim chci rici, ze to neni (pouze) o pristupovych pravech ala unix nebo windows, ale o bezpecne tvorbe vsech v systemu pouzivanych programu. Je-li jediny program zavadny, je system kompromitovatelny. Jinymi slovy - linux je zranitelny stejne snadno, jako wokna, jen je potreba pouzivat trochu jine nastroje a postupy.
H.

Dostalo se tam par prispevku prede mne, takze upresnuju: Nemyslim si, ze by bylo az tak velkym problemem prolomit linux.

A doplnim: prival tzv. bezpecnostnich aktualizaci napric vsemi linuxovymi distry je jen dokladem toho, jak velky problem je bezpecnost i v linuxu.

Urcitou "ochranou" je skutecnost, ze utoky proti linuxu vyzaduji hlubsi znalost systemu. Naproti tomu proti utoku "znalce" nema bezny uzivatel prakticky zadnou sanci.

H.

Pokud argumentujete proti bezpecnosti linuxu, prijde mi ponekud usmevne zminovat napr. pine (emailovy klient z roku 1989) a podobne problemy z doby ledove.

Samozrejme nechci tvrdit, ze je linux absolutne bezpecny - neni. Nicmene jsou jiste skutecnosti, ktere ho bezpecnejcim cini na rozdil o OS Microsoftu.

Napr. v pripade, ze je objevena v libovolnem softwaru bezpecnostni chyba je odstranena vetsinou velmi rychle a pomoci spravce balicku je automaticky nainstalovana nova programu bez bezpecnostniho nedostatku. Rozhodne neni potreba cekat do pristiho prvniho ctvrtku v mesici, kdy se MS uraci publikovat sve bezpecnostni zaplaty.

Navic je takto uzivatel chranen pred zneuzitim chyb nejen v systemu (jako v pripade windows a automatickych aktualizaci) ale ve vsech programech nainstalovanych pomoci spravce softwaru...

Stejně. Aby se Linux používal místo Windows, musel by se jím defacto stát - se všemi uživatelskými klady a zápory.

Bez záporů se obejde a kladů rychle přibývá. Zkuste si stáhnout Live CD poslední verze Ubuntu a trochu si pohrát; je dost možné, že budete velmi příjemně překvapen.

Opravdu nemám rád Ubuntu. Je to takový malý zakuklený Microsoft ve světě Linuxu.

Proč si to myslíte?

Nezlobte se na mne, ale tenhle clanek krome bulvarniho titulku neprinesl mnoho noveho :-/. "Bububu, nekoukej na porno nebo se ti zaviruje pocitac", to je na lupu trochu slabe

cituji ... 91% mailu jsou spam ....... kazdy devaty mail je spam ..... Mam pocit, ze se autor nejak prepocital :-)
Takze 9 mailu z 10 je spam. Je to fakt silene a je to skutecne pravda. Osobne si myslim, ze je situace dokonce jeste horsi :-(

Pokud nejste správcem emailového serveru, tak si těžko uděláte představu o množství spamů, který se vám snaží protlačit do schránky.

"Takze 9 mailu z 10 je spam. ... Osobne si myslim, ze je situace dokonce jeste horsi :-("

Taky mám občas pocit, že jedenáct mailů z deseti je spam :-D