Comments 69
Но если продукт станет популярным, то и его вирусы будут отключать перед шифрованием, либо будут пролезать в белые процессы и шифровать всё через них. Поэтому это тоже подорожник, который будет эффективен ровно до тех пор, пока работает по принципу неуловимого джо.
Такое решение должно работать ниже уровня операционной системы: возможно на гипервизоре или на уровне СХД, туда намного сложнее дырку найти.
восстановить то, что успело пострадать
офигительно коррелирует с фразой из ролика о том что аппрувленных дешифраторов WannaCrypt на данный момент тупо нет.
линукс это не операционная система
Вот бсд это операционные системы
Сильное заявление!
Оно спасает от ВСЕХ уязвимостей в этой не нужной дома/рабочей станции службе.Вот только статья то не о том. О чем я выше и написал.
Касательно линукса — сразу видно ты теоретег.Промахнулись, даже в молочко не попали.
Более того, линукс это не операционная система а ядро. Дальше оно обмазывается гнутыми утилитами и сверху ставится набор софта который и образует гуй.Собеседование на должность капитана очевидность вы прошли.
Вот бсд это операционные системы: там ядро и набор утилит в одном комплекте. На них натягивается сверху точно тот же софт для гуя, называемый де = десктоп енвайронмент.
Ещё один нюанс в том, что обновления вне венды бесплатные, свободные, не навязчивые и как правило не только баги фиксят, но и что то добавляют.Ага, это в теории, вы что, тоже теоретик? На практике, они могут легко устроить dependency-hell.
Поэтому после обновления может легко что-нибудь сломаться, как и в винде. Прям сейчас для примера взял попсовую убунту, ввел в гугле «linux после обновления» и получил восхитительные подсказки:
Такая сегментация ведёт к тому, что даже самая жуткая дырка есть не на всех системах а локализована в разных дистрах.Статистика говорит, что большинство дыр все-таки сосредоточены в ядре, а дистрибоспецифичные наоборот вылезают гораздо реже.
Кроме того, такая сегментация ведет к усложнению поддержки кода отдельно взятого продукта под каждый дистрибутив. Поэтому производители ПО нередко выбирают 1-2 дистрибутива, под которые они готовы поддерживать софт. И если хомячки резко мигрируют в линукс, то естественным путем будет выбран дефолтный дистриб, под который и будут пилить весь юзерский софт, игры и вирусы.
Даже если какой то ковнокодер что то напишет под линукс, то при наборе некоторой популярности найдутся люди которые форкнут и перепишут нормально.И в чем смысл этого аргумента? Эти люди напишут софт без дыр? Что-то я не видел пока еще софта без дыр даже от крутых разработчиков.
Про heartbleed я уже отвечал.
Дырки в роутерах, камерах и IoT — это капроэкономика, то что она взяла ядро линукса и обосрало его своим говнокодом не делает линукс плохим.А вот это как раз практика и факты. Это неминуемая реальность, которую стоит ожидать, когда на ядре линукса появится хотя бы один популярный хомячковый дистриб. А минуточку… уже ведь есть такой замечательный пример: андроид. Стал популярным, хацкеры ломанулись искать в нем дырки, и ведь находят пачками.
Извиняюсь за битую картинку
Я могу тоже сказать, идея винды и мака — ништяк, но винда и мак — пример как делать не надо. Вот только мы в реальности живем, а не в идеальном мире, где все всё делают как надо.
Мораль — бэкапы должы храниться на носителе, который разрешает добавлять файлы, но не перезаписывать или удалять. К примеру, ftp с правильно настроенными правами.
Можно список недостатков помимо "это надо купить и настроить"?
Сделать конечно можно красиво, но одним фтп с правильными правами тут не обойтись, нужны более умные системы с версионностью и вочдогами с реакцией на превышение инкремента в виде блокировки всего IO.
это надо купить и настроить
Ну настроить — не проблема, а вот жесткие диски — это расходный материал. Предлагая такое решение домашнему пользователю, вы ему должны сообщить, что на 1 терабайт его фоточек и видео потребуется 2-3 терабайта хранилища (если брать примитивную систему с правами только на добавление). А если использовать зеркальный рейд, то на 1 терабайт данных потребуется уже 4-5 терабайт хранилища. И еще упомянуть, что диски не вечные.
И надо понимать, что если бекап не инкрементальный, то он при каждом бекапировании будет полностью сливать все данные, что занимает много времени, ресурсов и амортизации.
Как бы ставим линукс и как бы и все.
Потому, что на линуксе есть шифрование, версии и чтобы запустить уязвимость, надо быть откровенным оленем, тем более под рутом. Соотвественно текущая гадость обходит линукс стороной.
Всякие фишки вроде 11 летнего бага и бешеной коровы я со счетов не снимаю, но под винду коричневого много больше и отмывается оно дольше.
— Версии файлов — это файловая система, а к ней вирус доступ имеет? Имеет.
— Запускать уязвимость не надо, ваннакрай не нужно было запускать, он проникает по собственной инициативе, типа как heartbleed.
— Если хомячки пересядут под линукс, они будут под рутом запускать все, что потребует доступ, как на винде UAC и на андроиде запрос разрешений при установке софта. Никто не разбирается, что там и зачем требует разрешений. Тем более, напомню, тут не надо было ничего запускать.
Посему десктопный линукс будет спасать, только пока не популярен. Ради 2% гиков с линуксами никто вирус писать не будет. Аналогично с маками (3-4%). Но если уж выбирать непопулярную систему, чтобы себя обезопасить, хомячкам уж лучше выбирать мак, а не линукс.
На линуксе шифровать файлы можно? Можно.
Как и в любой другой системе, где юзер может писать и читать.
Версии файлов — это файловая система, а к ней вирус доступ имеет? Имеет.
Если демон работает от root, то юзер не имеет доступа к версиям.
Запускать уязвимость не надо, ваннакрай не нужно было запускать, он проникает по собственной инициативе, типа как heartbleed.
Heartbleed ничего не запускал и никуда не проникал, и тем более, не портио на целевой машине. Он лишь позволял по кусочкам вытягивать содержимое оперативки, в котором могли быть ключи и прочие ценности. Далее оперируя полученными данными после аналила можно было проникнуть в систему, при условии, что доступ не ограничен. Слышим звон, да не знаем где он?
Если хомячки пересядут под линукс, они будут под рутом запускать все, что потребует доступ, как на винде UAC и на андроиде запрос разрешений при установке софта. Никто не разбирается, что там и зачем требует разрешений. Тем более, напомню, тут не надо было ничего запускать.
Какая-нить гуи-морда для iptables из пакетов (если такая есть) — пусть запускают от рута. Во всех остальных случаях невозможность работать программы НЕ из под рута должна насторожить как минимум. В случае SMB — тут системная уязвимость. В случае хака через шрифты или xls файлы — обычная юзер учетка винды, когда даже UAC молчал, Карл!
Посему десктопный линукс будет спасать, только пока не популярен. Ради 2% гиков с линуксами никто вирус писать не будет. Аналогично с маками (3-4%). Но если уж выбирать непопулярную систему, чтобы себя обезопасить, хомячкам уж лучше выбирать мак, а не линукс.
Нет декстопного линукса. Есть линукс, который работает на x86, amd64 (или пачку других) архитектурах. Декстоп или сервер определяется фломастерами админа. Захочу я поставить свой дебиан на сервер, будет netinstall и доступ по ssh. Захочу я поставить на ноут — будет просто образ и xfce для графы. Вот и все. Конторы, которые допиливают оригинальные ядра (перепиленный дебиан с этикеткой ubuntu и клоны убунты в виде mint и т.д.) я не рассматриваю как системы для работы по причине меньшей стабильности софта, меньшей комьюнити (хотя сейчас она почти такая же) и недоверия к canonical.
Что до мака — на нем тоже гадостей хватает, которые юзер скачивает и запускает в радостными воплями.
А как же эксплойты, повышающие уровень привилегий? В линуксе они тоже бывают.
Конечно бывают, я ответил ниже более развернуто.
Если демон работает от root, то юзер не имеет доступа к версиям.
Если демон работает от root, то юзер эксплуатирует повышение привилегий и делает, что вздумается.
Heartbleed ничего не запускал и никуда не проникал, и тем более, не портио на целевой машине. Он лишь позволял по кусочкам вытягивать содержимое оперативки, в котором могли быть ключи и прочие ценности. Далее оперируя полученными данными после аналила можно было проникнуть в систему, при условии, что доступ не ограничен. Слышим звон, да не знаем где он?
Heartbleed — пример проникновения без участия пользователя. Да, получается не во всех случаях, но и WannaCry не во всех случаях, не понимаю о чем спор. Я бы даже сказал — в редких случаях. Но если вас не устраивает пример, то можете сами посмотреть примеры с выполнением кода.
И это все дырки исключительно в ядре, но каждый дистрибутив обладает и собственными дополнительными отверстиями. Какой-нибудь дебиан, убунта.
Не нужно делать вид, что линукс пилят какие-то супер-программисты. Все они такие же люди, и допускают ошибки. Сегодня это безобидная ошибка, завтра — критическая уязвимость. Ошибки есть в любом софте, и вместо того, чтобы идеализировать какую-то систему, лучше давать действительно ценные советы, как обезопасить себя в небезопасных системах, а не полагаться на идеальный софт, который завтра может внезапно перестать быть таковым.
Вместо того, чтобы научить человека правильно переходить дорогу, вы предлагаете переехать в деревню, где один трактор на все село. Но если все ломанутся в эту самую деревню, там тоже появятся автомобили, и что тогда? Так и будем перебирать деревни?
должна насторожить как минимум
Вас должна насторожить, хомячка — нет. Они даже сообщения часто не читают.
Нет декстопного линукса. Есть линукс, который работает на x86, amd64 (или пачку других) архитектурах. Декстоп или сервер определяется фломастерами админа.
Не вижу противоречий. Десктопный линукс, это линукс, на который поставили гном, хром и нескучные обои. Его десктопность определяется задачами. На серверном линуксе админы не гуглят, как увеличить член и выучить английский, а на десктопном хомячки будут это делать и скачивать мануалы в виде бинарников, и запускать их под sudo.
Если демон работает от root, то юзер эксплуатирует повышение привилегий и делает, что вздумается.
Конечно, но надо чтобы система была уязвима. Для линукс ядра и дебиана патчи активно пишутся и много про, кто занимается исходниками. Исходники же windows закрыты.
Теперь сравним debian и microsoft, это vendor ссылки, которые включат в себя все прочие продукты.
M$ в содержит в 4 раза больше CVE в целом, а за прошлый год почти в 9 раз (105 против 12) косяков, за которые повышаются привелегии.
Как вообще гуглить и сравнивать? Лучше или хуже иметь больше CVE?
Поиск по ОС %debian%, а вот по %windows%. Поэтому я свалил винду в одну кучу.
На счет числа — хуже иметь бОльше CVE при одинаковых условиях, а на мой личный взгляд поиск в линуксе должен быть более оперативным и простым, чем в винде в виду открытости системы, нулевой стоимости и желания помочь opensurce, которое есть у каждого пользователя. Так что в текущей ситуации (закрытая система, имеющая бОльшее число багов) виндовс в глубокой заднице.
И весь сыр-бор заключается в том, что нужно использовать систему с открытым иходным кодом в виду оперативного нахождения косяков и повышения приватности. Вы же в курсе "веселой" телеметрии от windows и робкого вопроса debian о том, мол, хотите ли принять участие в исследовании устанавливаемого софта?
Конечно, но надо чтобы система была уязвима. Для линукс ядра и дебиана патчи активно пишутся и много про, кто занимается исходниками. Исходники же windows закрыты.
Конечно, и для винды патчи постоянно прилетают. Вот только открытость исходников имеет две стороны медали: одну вы описали — любой может поискать уязвимости и закрыть их, а вторая — любой может поискать уязвимости и воспользоваться ими. Поэтому не засчитывается.
Теперь сравним debian и microsoft
Нет, мы не будем сравнивать дебиан и мицрософт. Можно сравнить линукс и винду, а сравнивать дебиан и мицрософт, это как сравнивать мопед и атомный ледокол. Не засчитывается.
Поиск по ОС %debian%, а вот по %windows%. Поэтому я свалил винду в одну кучу.Повторяю, дебиан — это даже не ось, это дистриб линукса, поэтому сравнивайте количество дыр в винде (без смежных продуктов) с суммарным количеством дыр в дебиане и линуксовом ядре. Тогда будет справедливо. Иначе не засчитывается.
А условия вы как раз приводите далеко не одинаковые.
1. В виду открытости системы упрощается поиск дыр как разработчиками, так и хакерами. Поэтому не считается.
2. Желание помочь opensource — выдумка. Помогают только самые ярые энтузиасты, когда противоположных энтузиастов-киберпреступников гораздо больше. Все же остальные просто используют открытое По, как бесплатное ПО (коммерческое использование с двойным лицензированием не в счет). Поэтому аргумент не просто не засчитывается, а наоборот засчитывается в пользу закрытого ПО.
Более того, даже если хотя бы один аргумент был бы здравым и весомым, условия все равно не равные в виду того, что винда сильно популярнее.
У открытого ПО есть куча преимуществ, но безопасность продуктов не в их числе. Безопасность определяется популярностью, а не открытостью кода, но вы же отказываетесь в это верить, аргументируя это линуксом. Ну хорошо, давайте возьмем противоположную ситуацию. Возьмем открытое, но популярное ПО и сравним его с закрытым и непопулярным. Но только мы будем делать справедливое сравнение, а не как вы любите «давайте сравним оперу и весь гугл вместе взятый со всеми продуктами». И да, смотрите статистику до 2013 года, пока еще опера не стала хромом.
Как видим, принцип неуловимого джо подтверждается, а принцип безопасности открытого ПО и армии белых всадников-опенсорсников, соответственно, опровергается на глазах. Софт бывает хороший, бывает плохой. Плохой софт может стать со временем лучше, хороший — хуже. А может и не изменится. И делать выводы «открытое ПО более безопасное» — глупо, учитывая, сколько переменных на самом деле влияет на качество софта.
И поясните последний абзац без намеков, я не люблю вступать в спор с воздухом, давая возможность соскочить.
Как бы на каждую умную… голову, есть свой… боль с резьбой и по аналогии. Если кто-то нашел дырку из десятков тысяч человек, то кто-то другой ее тоже найдет и нет смысла ее прятать и использовать для себя.
Про сравнение мелкософта и дебиана — это к сортировке на том ресурсе и к самому мелкософту. Для объективной картины вы можете самостоятельно просуммировать все CVE для всех виндовс.
Далее засчитывается и не засчитывается — откровенный бред и невежество с вашей стороны :)
У линукса есть преимущество большого количества разнообразных дистрибутивов с существенными отличиями. Плюс возможность самостоятельно отрубить многие эксплойты, просто выключив в самосборном ядре лишнее.
Но это не спасает гарантированно.
Если пользователь очень нужен (например, работает на нужную компанию), то конкретно под его вариант линукса будут копать, пока не найдут лазейку. И вирусы будут персональные писать.
Посему десктопный линукс будет спасать, только пока не популярен
Не обязательно атаковать именно десктопный. Серверный атаковать в этом смысле куда выгоднее. Деньги там.
Ради 2% гиков с линуксами никто вирус писать не будет.
Писали бы, если бы смогли. Эта доля вряд ли меньше количества уязвимых для обсуждаемого вируса машин.
Но просто линукс — это еще не все.
Ставим линукс не из самых популярных (не ставим как минимум минт с убунтой) с самосборным ядром, в котором нафиг отключено все ненужное. Ну и до кучи правильно настроенный брандмауэр, отсутствие ненужных служб и доступных извне ненужных портов, перенесение сетевых служб вроде ssh на нестандартные порты, и т.д., и т.п… Короче говоря, довольно длинный список мероприятий.
Такое (настройка) можно делать с любыми системами. Перенос порта не спасает от уязвимостей в сервисе. В случае винды — там дырка в самом сервисе и хрен знает сколько еще в системе.
Да, у линукса есть много неплохих дистрибутивов с низкой популярностью. Но никто не гарантирует, что среди их пользователей не найдется Очень Важной Персоны, под которую будут персонально копать и писать персональные вирусы. И случайно попасть под раздачу заодно с такой Персоной (атака не обязательно будет точно нацеленной, как показывает опыт вируса против иранских центрифуг для обогащения урана) будет очень обидно.
На линукс машине как правило хранится все самое ценное и самое личное (ключи от серверов, закодированные базы с паролями, документы на encrypt и т.д.). Так что если кто-то займется линукс хаками, он поимеет много больше чем с виндомашинки, где стоит левый офис и танки.
как правило
Не правило, а лично ваша фантазия
Не правило, а лично ваша фантазия
Я работаю под линукс (debian) и храню на нем все ценное. Винда только для игр и там скайп еще стоит для блаблабла.
Ну тогда так и говорите «на линукс машине как правило Я ХРАНЮ все самое ценное»
Создайте опрос.
На хабре, где сидят одни гики?
Большая концентрация гигов и маков на гиктаймс. Но вы правы в том, что опрос не даст ровным счетом ничего, так как Вася, которые пишет на VC ничего слышать не слышал про линукс, как и большая часть учеток, которые тут наплодили.
А проконтролировать условие+вопрос "работаю в линукс"+"где храните важные данные?" нереально в интернете.
По этой ссылке такой же маркетинговый булшит.
А так да, реквистирую или статью или описание в комментах как оно работает, куда резервирует данные, сколько требует места, как влияет на производительность. Не хочу я себе сторонний антивирус, не нужен он на 10ке, встроенный и обновления отлично со всем справляется, а вот такую штуку на случай форс-мажора и хитрых сигнатур, которые все начнут детектить после заражения я бы с удовольствием приобрёл и себе, и знакомым, если оно умно сделано и не загоняет в рабство.
Винда хороша только как система для игр (DX12 + очень МНОГО драйверов и работает быстро, так как система засрана оптимизирована сторонним кодом, что не спасет от ситуации "айайай, чуть чуть и синий экран бы возник").
Сейчас дыра в SMB, 2 года ранее — CVE-2015-1635. Год назад была дыра, когда специально сформирванные шрифты можно было исполнят в системе (зашел на сайт, комп скачал кастоп шрифт, код сработал).
Зачем насиловать труп, ставя 100500 систем резервирования, когда нужно просто отказатся от использования.
Если все откажутся от винды, все вирусы перекочуют в линукс. Вы сами себе могилу роете подобными агитациями. Используйте линукс, и никому об этом не говорите.
Давайте ахинею-то нести не будем. Линукс и винда как бы и работают по разному. Так же не будем мешать в кашу вирусы и уязвимости. Первых под линукс тоже хватает, и они как правило, будучи подхваченными, сидят себе в пределах юзер учетки и рассылают спам к примеру или подключают юзера к ботнету. На систему залетают через уязвимости или через тупого юзера (который скачал и запустил файл с правами на доступ). Да и файлы… опять таки — под линукс все можно скачать с оффсайтов, проверить хеши и собрать самому. Никто не запрещает и пробежаться по исходному коду, если есть навыки и желание или, как минимум, проверить sh файлы.
Далеко ходить не буду — "универсальный 0-day эксплоит", который признан бороться со скрипткидди, которые поставили себе линукс, и сделали аккаунты на айттиресурсах, ну и… считают себя крутыми хацкерами.
По факте сие затирает пароли и учетки и сносит к чертям файлы на разделе.
ничего не мешает заменить на шифрование /home
Так есть же версии, есть rsync и его человеческие клоны. Да и ничего не мешает сделать папку за пределами /home для хранения ценных вещей. Папку, которая недоступна для листинга юзеру.
А если все хомячки последуют вашему совету, их линукс по настройке и безопасности будет сильно смахивать на винду, ибо настроено все будет по дефолту, на дефолтных портах, в дефолтных папочках, и работать на стандартных механизмах.
А то, что вы проповедуете — это безопасность через неясность + неуловимый джо. Эти два метода отлично подходят для персонального использования, но носить массовый характер оно не будет, ибо в этом случае потеряет эффективность.
И какие же технические препятствия встанут на пути, если я будучи хацкером захочу все эти прелести обойти? Никаких. Вопрос в желании.
Как минимум не сможете получить доступ к папке и понять что там.
А если все хомячки последуют вашему совету, их линукс по настройке и безопасности будет сильно смахивать на винду, ибо настроено все будет по дефолту, на дефолтных портах, в дефолтных папочках, и работать на стандартных механизмах.
Вы никогда не ставили Debian по дефолту? По дефолту там как бы и ничего нет, кроме системы, xfce (или другая морда) и учетки юзера и учетки root.
А то, что вы проповедуете — это безопасность через неясность + неуловимый джо.
То есть вам просто хочется поговорить?) В таком случае весь линукс работает на неясности (привет /etc, /root и остальным!) да и винда на своем AD не остает, ведь у вас нет, как у простого юзера, доступа к папкам соседа, которые даннный AD админит и хранит ключи и котиков.
Как минимум не сможете получить доступ к папке и понять что там.
Я и в винде такое стандартными NTFS-каклами сделаю, только эскалацию привилегий никто не отменял ни в винде, ни в линуксе. Айфоны джейлбречат, андроиды рутуют. Вы в каком-то идеальном мире пребываете.
Вы никогда не ставили Debian по дефолту?Да дебиан — вообще когда то был моим любимым дистрибутивом, я его даже на десктопе юзал, и фряху, кстати, я тоже под кде патчил. Вот только хомячки не будут ставить дебиан и патчить фрю, они возьмут убунту, минт, мандриву и не дай бог там придется гуглить ошибку, почему их любимая программа не запускается, сразу вернутся на винду/макось.
Последний абзац, извините, не понял. Да и с AD я последний раз работал в 2003 году, не могу спорить.
Последний абзац, извините, не понял. Да и с AD я последний раз работал в 2003 году, не могу спорить.
Про то, что сокрытие данных это норма в линуксе для некоторых файлов и директорий и ваше определение с отсылкой на вики здесь не прокатывает. Да и на винде сие применяется при шаринье папочек на корпоративном сервере.
Андроид и роутеры показывают что такое массовый Линукс и что из этого получается.
Злоумышленники не побоялись атаковать даже подразделения МВД России!
как им надо было боятся?) включить в код вируса проверку компьютеров на принадлежность к МВД?
и ссылки-пруфы на то, что втб и ржд были заражены… мягко скажем, без подробностей.
Злоумышленники не побоялись атаковать даже подразделения МВД России!
Они этого "не боятся" столь регулярно что складывается ощущение что "злоумышленников" ищут путём поднесения магнита к пониже пояса, хотя на самом деле просто аналогия с бесхозным ребёнком в грязи — тянет в рот всякую каку, но всем пофиг.
что втб и ржд были заражены…
А что изменится от подробностей в массы? Что-то пошифровалось, что-то упало, кто-то побегал в режиме ПАНИКАПАНИКА1111, но со временем стало напоминать землетрясение — нужно разобрать завалы, отстроить упавшее и жить дальше. Кто поразумней — дома посейсмоустройчивее выберут, патчи накатят. У занимающихся этим подозреваю наличие всяких NDA и рассказывать что-то подробное о затронутых системах они не могут.
WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужно правильное решение для надежного бэкапа