Najbezpieczniejszy system? MS Windows!!!

[prawdziwy.tebe]

newsroom.chip.pl/news_107308.html

to juz kolejne badanie z kolei (a nie zapominajmy tez o slawnych
wlamach na serwery linuksowe, jak np. serwis debiana ze zrodlami
lub na rodzimy linux.pl), z ktorego jasno wynika, ze rzekome
bezpieczenstwo linuksa to jeden wielki skompromitowny mit, a
linuksiarze to banda zaslepionych nienawiscia antykapitalistycznych
fanatykow i nic wiecej.

[Gość: ja]

> a nie zapominajmy tez o slawnych
> wlamach na serwery linuksowe, jak np. serwis debiana ze zrodlami
> lub na rodzimy linux.pl
Sasser - 6 milionów komputerów, przebij to!

[prawdziwy.tebe]

> Sasser - 6 milionów komputerów, przebij to!

linuks jest niszowy, wiec obawiam sie, ze nie ma tylu maszyn pod jego kontrola.

[Gość: ja]

A serwery www? Jakos nigdy nie bylo takiego padu jak w przypadku Sassera,
MyDooma czy Blastera.

A podane przez ciebie wlamy to przyklady wpadek adminow(poprawki byly dostepne
od jakiegos czasu). Niedawno z powodu lenistwa(!) adminow zhackowany byl serwer
MS w Wielkiej Brytanii(niezainstalowana poprawka). Nie dowodzi to kiepskiej
jakosc ich produktu, tylko tego, ze w wiekszosci przypadkow najwazniejszy jest
czynnik ludzki.

[Gość: piecyk gazowy]

Gość portalu: ja napisał(a):

> A podane przez ciebie wlamy to przyklady wpadek adminow(poprawki byly dostepne
> od jakiegos czasu). Niedawno z powodu lenistwa(!) adminow zhackowany byl
serwer
> MS w Wielkiej Brytanii(niezainstalowana poprawka). Nie dowodzi to kiepskiej
> jakosc ich produktu, tylko tego, ze w wiekszosci przypadkow najwazniejszy jest
> czynnik ludzki.

Chwileczkę! A w przypadku Windows to jest inaczej?

[barracuda7110]

Uważasz, że serwerów www, poczty itp. jest mniej niż 6 milionów? :)

[Gość: jose_g]

przeciez takie zestawienia sa z reguly g.... warte. zobacz sobie dyskusje na osnews.com i zobacz jak
zostaly te dziury policzone
poza tym - czy ilosc wykrytych dziur swiadczy o tym jak bardzo niebezpieczny jest system? nie. liczy
sie czas reakcji programistow/producenta - czas od wykrycia i opublikowania dziury do wypuszczenia
patcha.

[Gość: johndoe]

cytat z artykulu /polskiego/
" W latach 2003-2004 do Windows XP opublikowano 46 poprawek"

i drugi

"Użytkownicy badanego w tym samym czasie SuSE Linux Enterprise Server 8 powinni "naprawić" swój system 48 razy"

nie mam czasu czytac, ale jezeli w oryginale tez sa takie "subtelne" roznice...

[koktajl_molotowa]

A wystarczy przeczytać ostatni akapit textu:
"Tworzenie rankingów bezpieczeństwa jest bardzo skomplikowane, a zajmujące się
tym firmy są często krytykowane..."
I tu leży pies pogrzebany, krytyczne błędy w L są usuwane prawie natychmiast, a
te z Win... (no, niektóre są jeszcze nie załatane choc wiadomo o nich od uuu, a
może dłużej)

[Gość: johndoe]

chodzilo mi raczej ofakt, ze niektorzy nie widza roznicy miedzy fakte, ze

na polu L saperzy znalezli w ciagu roku 50 min

a

na pole W saperzy wchodzili w ciagu roku 50 razy, zeby oznaczyc wszystkie znalezione miny

pzdr

@johndoe

[koktajl_molotowa]

Znaczy odpowiedź była ogólnie do dyskusji, nie do konkretnie Twojego postu.
POZDR

[bodo31415]

W Chipie właśnie toczy się dyskusja na ten temat, szkoda, że wziąłeś tylko
fragment, który Tobie odpowiadał. System (nie tylko komputerowy) jest tak
bezpieczny, jak jego najsłabsze ogniwo. Niestety tym ogniwem jest z reguły
człowiek. Popularność systemu też robi swoje. Czy wandal będzie tworzył
szkodnika np. na QNX-a, gdzie szanse trafienia szarego użytkownika sieci
graniczą z cudem?
Poza tym chyba lubimy toczyć wojny. Była już między Amigą i Atari, ośmiobitowców
z szesnastobitowcami, gdzieś czytałem, że również między męską a żeńską częścią
użytkowników komputera toczy się bitwa itd. Mamy więc kolejną.
Do tej pory udowadniano, że to Linuxowcy są fanatykami swojego systemu a tu jest
namacalny dowód na to, że dowodzący tą tezę po prostu kłamią.

Pozdrawia użytkownik obu systemów w zależności od potrzeb.

OT

[koktajl_molotowa]

bodo31415 napisał:

> ... gdzieś czytałem, że również między męską a żeńską częścią
> użytkowników komputera toczy się bitwa ...

Ciekawe, po której stronie stoja transwestyci? :D

[broch]

policz procent zakazonych sasser systemow windows. Wyjdzie ponad 100% poniewaz
wielu uzytkownikow nie instaluje hotfix i systemy sa infekowane wielokrotnie.

Secunia liczy odzielnie windows i IE, choc czesc dziur w IE pozwala na dostep do
systemu nawet jesli IE jest nieuzywany. IE odinstalowac sie nie da.
Rowniez ta sama Secunia liczy wszystkie dziury w np RH wlaczajac w to np dziury
w SAMBA. Gdyby Secunia byla uczciwa to po pierwsze liczylaby dziury w Windows i
IE razem, po drugie liczylaby razem tylko te dziury w dodatkowym oprogramowaniu
do linuksa ktore sa specyficzne dla dystrybucji. Inaczej ganeralna dziura w
SAMBA jesli liczona wielokrotnie: Vendor SAMBA i przy kazdej dystrybucji.
W ten sposob to powinno liczyc sie razem Windows z IE i calym oprogramowaniem MS
i reszty.
W takim zestawieniu windows wyjdzie gorzej niz jakikolwiek inny OS.

[Gość: JP]

broch napisał:

> policz procent zakazonych sasser systemow windows. Wyjdzie ponad 100% poniewaz
> wielu uzytkownikow nie instaluje hotfix i systemy sa infekowane wielokrotnie

To co piszesz jest nielogiczne. Jezeli to bylaby prawda, ze Secunia liczy kazde
zainfekowanie komputera a nie ilosc komputerow to ta ilosc zainfekowanych
komputerow bylaby wielokrotnie nizsza. Nie 70% a np 35%.

> Secunia liczy odzielnie windows i IE, choc czesc dziur w IE pozwala na dostep
do systemu nawet jesli IE jest nieuzywany. IE odinstalowac sie nie da.

Podaj zrodlo z ktorego wziales to przypuszczenie ze Secunia w swoim raporcie
nie uwzglednia IE.
IE jest integralna czescia Systemu Windows i traktowany jest jako czesc
systemu. Dlatego m.in. nie moze byc odinstalowany.
Przykladem tego moze byc takze kazde SP do Windowsa ktore usprawnia i poprawia
system a zarazem IE.

Ty broch wielokrotnie pisales tu na forum, ze niema bezpiecznego systemu.
Osmieszales tych ktorzy mowili ze Linux jest bezpieczniejszy od Windows.
Cenilem twoj obiektywizm.

[broch]

Wlasnie w tym rzecz faktyczna liczba zainfekowanych sasser maszyn powinna byc
wyzsza poniewaz wiele maszyn (nawet tu na forum) byo infekowanych wielokrotnie
tym samym worm.
Zobacz na strone Secunia, podaja odzielnie dziury w windows i IE choc ma to
sredni sens.
Tutaj:
secunia.com/vendor/1/
oddzielnie listowane OS (windows)
np windows XP Pro
secunia.com/product/22/
oraz IE jako ekstra software.
secunia.com/product/11/
Podczas gdy np bledy w oprogramowaniu innych podane sa jako integralna czesc RH
secunia.com/product/2568/
W wypadku linuksa w ten sposob mozna pisac gdy blad dotyczy tylko specyficznej
dystrybucji (czyli np chlopaki z RH dolozyly sie to kiepskiej implementacji).
Nie bronie linuksa, uwazam tylko ze tak ustawione zestawienie jest nie fair.
Ponadto wWindows ma tzw "cumulative" patches ktore rozwiazuja wiele problemow
jedna aktualizacja, Pozostale OS robia tylko indywidualne patche. W zwiazku z
tym ilosc dziur w Windows jest wyzsza niz ilosc patchy.
Najlepszy przyklad ze strony Secunia:
Windows XP Pro:
"2004 - 11 Secunia Security Advisories"
i kwituszek:
- Microsoft Windows 14 Vulnerabilities (patch ktory zatkal czternascie dziur).
Opis wszystkich zatkanych dziur tutaj:
secunia.com/advisories/11064/
Jesli idzie o RH to pewnie ze wolalbym SuSe ale w U.S.A. najpierw jest RH potem
dlugo nic a potem inne dystrybucje (mowie o duzych instytucjach oczywiscie, nie
o prywatnych uzytkownikach)

[Gość: JP]

Oczywiscie liczba pisanych trojanow i innych smieci pod Windows jest wieksza
niz na inne systemy. Tak jak zainteresowanie hackerow wyszukiwaniem dziur w
Windows jest wiele wieksze niz w innych. Wiadomo dlaczego.

Probujesz mnie przekonac ze jezeli dany wirus dwukrotnie zainfekowal ten sam
komputer to nalezy to traktowac ze zostaly zainfekowane dwa komputery.
No coz mozna i tak. Dla mnie to jest jeden komputer.

Duzo sie ostatnio mowi o niezalatanych dziurach w Windows. Sam Microsoft
przyznal ze wie o wielu. Czasem jednak zadziwiaja mnie informacje prasy. Glosno
jest np. o wirusie wykorzystujacym dziure w Internet Information Services.
Jakoby nie zalatana dziura. Tymczasem MS juz 15-tego pisal, ze wystarczy zrobic
aktualizacje Windowsa. Pisal takze, ze uzytkownikow WinXP z SP2 to nie dotyczy
i sa bezpieczni.
www.microsoft.com/technet/security/bulletin/MS04-011.mspx
www.microsoft.com/security/incident/download_ject.mspx
Nie mozna wiec wierzyc prasie i w tym przypadku.

[broch]

Hmmm.. SP2 jest beta.
Ponadto wykazywalem ze logika Secunii jest daleka od logicznego obliczania
ilosci dziur w windows i konkurencyjnych OS. Za kazdym razem gdy system jest
zainfekowany, stanowi niebezpieczenstwo dla innych.

Pisalem o tym kilka razy: Wystarczy skonfigurowac partycje systemowa jako "read
only" i zaden z opisanych problemow (za wyjatkiem "priviledge escalation") nie
bedzie dotyczyl Twojego OS.
Nie darze sympatia/antypatia zadnego szczegolnego OS. To tylko narzedzia pracy.
Kazdy ma swoje zalety i kazdy moze wkurzyc.

[Gość: JP]

Dowodzisz zatem ze Secunia jest nieobiektywna a moze jest na uslugach MS? :)

Boleje nad tym ze MS zwleka z wydaniem SP2. Moim skromnym zdaniem jest gotowy
ale moze jeszcze chca cos dodac.
Ten Service Pack wprowadza duzo nowego. To nowa filozofia patrzenia na ochrone.
Niemal wszystko co ingeruje lub wymaga ingerencji w nasz komputer a pochodzi z
internetu jest sygnalizowane i wymaga naszej zgody. Pop-up Bloker to nie tylko
bariera dla reklam. To takze bariera dla spyware\adware. Posiada trzy poziomy.
Na najwyzszym niektore strony wogle nie da sie otworzyc.
Mysle ze o tym bedziemy jeszcze dyskutowac.
Sam nie wiem co jest lepsze. Suteczne zabezpieczanie sie czy freedom i
mozliwosc zobaczenia wszystkiego.
Dzisiaj np mialem taki przypadek ze nie moglem odebrac jednego waznego dla mnie
emaila biznesowego. Server verizon (moj prowvider) traktowal ten email jako
spam i go nie przepuszczal. Efektem tego bylo to ze nawet nie wiedzialem ze ten
ktos do mnie wyslal email. Dopiero interwencja u Verizon (najwieksza kompania
telefoniczna w USA) to umozliwila. Email byl kierowany z firmy ktora jest w
pierwszej dziesiatce najwiekszych firm budujacych domy w USA a mimo tego filtr
spamowy potraktowal ja jako spam.
Nie dajmy sie zwariowac. Nadmierna ochrona moze tez przynosic straty.

Piszesz, ze najlepiej jest skonfigurowac partycje systemowa jako read only.
Dobry pomysl ale przeciez system tez chce czasem cos tam zapisac, nie mowiac
juz o programach. Mozna oczywiscie probowac ten saving przekierowac na inna
partycje ale nie zawsze da sie to zrobic. Przynajmniej w Windows.

[broch]

"Dowodzisz zatem ze Secunia jest nieobiektywna a moze jest na uslugach MS?"
Nic takiego nie sugerowalem, poniewaz nie mam na to najmniejszych dowodow.
Uwazam po prostu ze ich zestawienie jest dalekie od faktow.

"Ten Service Pack wprowadza duzo nowego. To nowa filozofia patrzenia na ochrone."
Zobaczymy. Dla mnie zmiany w XP to:
1. zmiany w IE (tzn utrata praw to wykonywania zadan bez wiedzy administratora)
2. latwa mozliwosc zamkniecia wszystkich portow
3. Latwa mozliwosc zamkniecia (wszystkich) serwisow
4. Domyslnie XP nie powinien miec uruchomionych wiecej niz 12-15 serwisow (wiem
ze faktycznie SP2 otwiera wiecej niz poprzednie wersje)
5. Zarzucenie polityki wg ktorej MS wie lepiej niz sam uzytkownik, czego
uzytkownik potrzebuje. To w dalszym ciagu sie nie zmienilo.

"Piszesz, ze najlepiej jest skonfigurowac partycje systemowa jako read only.
Dobry pomysl ale przeciez system tez chce czasem cos tam zapisac, nie mowiac
juz o programach. Mozna oczywiscie probowac ten saving przekierowac na inna
partycje ale nie zawsze da sie to zrobic. Przynajmniej w Windows."

Wszystkie moje windows workstations sa tak skonfigurowane. Uzywam tego typu
konfiguracji od czasow beta wersji w2k. Nigdy zaden system nie zostal zakazony
niczym (worm, wirus, adware) choc nie mam zainstalowanego zadnego hijack
(dlatego nie wiem jak to dziala), antywirusa ani podobnych.
1. logujesz sie jako user (zmodyfikowane, ograniczone jeszcze bardziej niz
domyslne, uprawnienia)
2. System dzielisz na trzy partycje (bo latwiej dokonac pozniej mian): system,
swap, user
3. Partycja system i swap sa dla uzytkownika read only.
4. modyfikujesz registry tak aby programy mialy pelny dostem do galezi registry
ktore sa niezbedne do ich poprawnego funkcjonowania.
5. zamykawsz WSZYSTKIE porty i wylaczasz wszystkie zbedne serwisy
6. Ograniczasz prawa IE (choc nie jest to konieczne, ale strzonego Pan Bog strzeze)
Poczatkowo kazdy wirus ma prawa zalogowanego uzytkownika co dotyczy rowniez
zapisu na dysk. Przy powyzszym ustawieniu absolutnie zaden wirus czy adware nie
bedzie w stanie sie zinstalowac nawet jesli uzywasz IE bez patch.
Poniewaz zamknales wszystkie porty zaden worm nie bedzie w stanie zakazic
systemu (nawet bez patch)
Przy powyzszej konfiguracji ("UNIX-like") windows 2k lub XP (Pro, poniewaz Home
nie ma okreslonych funkcji niezbednych do tego typu zmian) sa calkowicie
funkcjonalne (do instalacji, i zmian systemowych uzywasz wbudowanej opcji Run
As..).
Taka konfiguracja skutecznie chroni moje systemy od 1999. Dlatego nie mam
pojecia jak usuwac adware, spyware, backdoors itp. Nigdy nie mialem takich
problemow.

Generalnie ATT jest chyba wieksze niz Verizon. Osobiscie uwazam ze Verizon ma
znakomicie dzialajaca siec dla cell phones. Wielkosc firmy nie odzwierciedla
jakosci (vide MS)

[gray]

broch napisał:

> 5. Zarzucenie polityki wg ktorej MS wie lepiej niz sam uzytkownik, czego
> uzytkownik potrzebuje. To w dalszym ciagu sie nie zmienilo.

i nie zmieni bo wyszłoby na jaw ile z windowsa jest tak naprawdę potrzebne.

[gray]

Gość portalu: JP napisał(a):

> jest np. o wirusie wykorzystujacym dziure w Internet Information Services.
> Jakoby nie zalatana dziura. Tymczasem MS juz 15-tego pisal, ze wystarczy zrobic
>
> aktualizacje Windowsa. Pisal takze, ze uzytkownikow WinXP z SP2 to nie dotyczy
> i sa bezpieczni.

zabawna propagada - pierwszy link nie dotyczy IIS a drugi nie jest z piętnastego :)

[gray]

forum.gazeta.pl/forum/72,2.html?f=34&w=13723401 - polecam lekturę.

dodatkowo polecam spojrzenie na różnicę w ilości dziur dających zdalny dostęp
windows i w linuksach - te są najgroźniejsze bo wystarczy znać adres serwera.
ciekawa jest również dysproporcja w ilości remotów w SuSe i w RedHacie - linux
linuksowi nie równy i to nawet w znaczeniu maszyna z RH nie równa maszynie z
RH. ciekawe jakie wyniki miałby dobrze zrobiony slackware.