I když titulek vypadá kontroverzně, nehledejte za tím nic zvláštního. V posledních několika dnech jsem dostal pár hlášení o tom, jak řádí škodlivý software. V konečném důsledku mne to přivedlo na téma tohoto příspěvku.
Mí známí, kolegové a rodinní příslušníci mne už dlouhá léta vyhledávají a ptají se mne na to, jaký software používat. Obvykle je to kvůli tomu, že chtějí mít dobrý pocit z toho, že mají vše v pořádku a také kvůli tomu, aby ušetřili.
Podíváme-li se do hlavy nejednoho přívržence FOSS, najdeme tam zasunutou ideu o tom, jak tento software vytlačí komerční firmy na okraj zájmu, protože prostě bude výhodné používat FOSS. Můžeme polemizovat o tom, zda to je či není reálné (no dobře, v tuto chvíli určitě ne a do budoucna to taky nějak výrazně jinak než teď taky nevidím).
Čím více se nad tím zamýšlím, tím mne přepadává až skoro kacířská myšlenka v tom, že mi současný stav jaksi vyhovuje. Tedy existuje FOSS, já jej používám, ale v žádné z klíčových oblastí nedominuje (výrazněji) i když se mnoho z nás snaží to změnit. Jistě, u jednotlivců určitě dominuje, ale už třeba ne na úrovni jednotlivých států.
Začnu zdánlivě nesouvisejícími příklady. Dnešní vymoženosti vám umožňují, abyste si koupili tzv. elektronickou chůvičku. Je to zařízení, které se skládá z vysílače a z přijímače. Vysílač umístíte k posteli malého dítěte a přijímač si vezmete s sebou do jiné, nepříliš vzdálené místnosti. V reálném čase pak slyšíte (u některých modelů i vidíte), co se ve vedlejším pokoji děje. Výrobců těchto zařízení je pár. Obejdete obchody, prolezete internet a vyberete si jeden konkrétní model, jednoho výrobce. Vše funguje jak má, vypadá to dobře. Jenže pak zjistíte, že v paneláku, kde bydlíte, s vámi na patře žijí ještě dvě rodiny s malými dětmi. A ve vedlejším vchodě také a o patro výš či níž je ještě jedno dítě. Všichni rodiče jsou moderní a chůvičky používají. Vámi dlouho vybíraný výrobek má celkem 5 různých frekvenčních kanálů. Vy jej spustíte a zjistíte, že chytáte sousedovo dítě. Přepnete na jiný kanál a tam je zase jiné dítě. A nakonec z toho vyjde, že všech 5 kanálů je obsazených a na vaše dítě se nedostane. Až pozdě zjistíte, že jste si koupili nejprodávanější chůvičku, kterou má každá třetí rodina. Řešením je pustit chůvičku dříve a modlit se, že to vyjde.
Nemusíme chodit daleko – dnes populární tzv. meteostanice. Fungují na bázi přijímače a vysílače. Jednu část máte za oknem, hlavní stanici v bytě a můžete krásně vidět, kolik stupňů je za oknem, aniž byste museli vystrkovat nos. Velmi dobré a výhodné do té chvíle, než zjistíte, že u vás v paneláku je ještě asi dalších 10 lidí, se stejnou stanicí a že vy nemáte možnost chytit své „čidlo“ a že přijímáte informace od souseda.
Také si koupíte auto (třeba od jednoho tradičního českého výrobce) a když přijedete na parkoviště zjistíte, že stejný model má asi tak 50 dalších lidí. Když se objeví zloděj, může si vybrat a vy máte o starost více. Pak jdete po ulici a před vámi se kolébá vaše dcera. Protože už chce šlápnout do té louže plné vody, okřiknete ji. Zavoláte na ní „Terezo!“ a na ulici se otočí ještě pět dalších holčiček…
U všech jmenovaných příkladů se může osvědčit metoda zvaná „nesplynout s davem“ tj. vybrat si něco jiného, nemasového. Ne vždy to samozřejmě jde, ale ve většině případů ano. Mluvím o tom hlavně proto, že jsem se tento týdnem dozvěděl o případu hacku internetových stránek. Když daný zodpovědný správce prováděl analýzu, zjistil, jak byl útok proveden. Útok přišel z počítače osazeného operačním systémem Microsoft Windows. Že je to masovka, souhlasíte. Navíc byl jako FTP klient použit Total Commander (také masovka u Windows uživatelů). Posledním střípkem do skládačky byl úspěšný útok na seznam uložených hesel pro přístup na FTP server právě v TC FTP klientovi. Jinými slovy – útočník využil konkrétní OS s konkrétní aplikací (vše masově rozšířené) a získal informace k FTP účtu, skrz který pak mohl provádět nekalé rejdy na stránkách oběti. Řešením samozřejmě je to, že si do TC nebudu ukládat hesla. Druhým řešením je použít jiného FTP klienta (rozuměj ne tolik rozšířeného). TC se prostě stal takovou samozřejmostí, že s ním útočník může počítat téměř najisto. A v tomto případě prostě můžete zabezpečovat své stránky jak chcete, nepomůže vám nic.
A tím se dostávám k jádru věci. Proč skoro neexistují viry pro Linux? Je to skutečně tím, že je tak bezpečný? Částečně možná ano, částečně je to tím, že se prostě útočníkům nevyplatí psát škodlivý kód pro (pro ně) minoritní systém. Proč skoro neexistují makro viry pro OpenOffice.org? Možnosti jeho makro jazyka jsou velmi podobné VBA v MSO. Opět se útočníkům nevyplatí vytvářet škodlivý kód pro minoritní software.
Mám velmi blízký vztah k projektu Joomla! a sleduji jej od prvních krůčků. S tím, jak se objevují nadšené vyjádření vývojářů, uživatelů a investorů, že prostě Joomla! je pro ně to pravé, nebývale stoupá množství útoků na stránky založené na tomto redakčním systému. Když byla Joomla jen na okraji zájmu, málokdo se mohl „pochlubit“ hackem (to už ho opravdu někdo neměl rád a zaměřil se na něj). S tím jak množství uživatelů roste, roste i zájem hackerů. To se v tuto chvíli děje s Microsoft Windows, Total Commanderem a třeba Joomlou.
Kdyby se někdy zrealizovala vize o nadvládě alternativních poduktů (třeba Linux, OpenOffice.org aj.), určitě by se o ně strhl zájem i u hackerů. A to mne v podstatě v tuto chíli vede k myšlence, vyjádřené v titulku.
Napsat vir, který by uměl napadat webové servery Googlu, Seznamu, PayPalu, ... (Linux je na serverech velmi rozšířený) a rozesílat spam (nebo rovnou krást peníze) přímo z nich, to by bylo určitě zajímavější než napadnou pár pomalých windowsích mašin s ještě pomalejším internetovým připojením a jednoduchou blokací připojení.
Anebo zkuste tu vaši tezi aplikovat na IE a Firefox. Proč IE má tolik zneužívaných bezpečnostních děr, zatímco Firefox ne? Protože IE je zažrané do systému.
Porblém je, že bezpečnost Windows i IE je (byla) defective by design. Jádro Windows NT má bezpečnost srovnatelnou s unixovými systémy, ale ta byla hrubě obcházena (nekritické služby běžící pod uživatelem SYSTEM, administrátorská práva pro uživatele automaticky a bez nutnosti jeho interakce ap.). Ale od Vist a IE7 se blýská na lepší časy (jen to nezakřiknout).
ad [2]
> tak se monokultury a viru v software nemusime bat.
tohle je pěkné srovnání :) monokulturu v přírodě dřív nebo později taky zahubí její malá odolnosti proti virům a jiným nemocem. že by se i v IT takhle projevovaly darwinovy teorie evoluce a přirozeného výběru druhů? :)
[4] Taky že jo, kde je Cisco monokultura, hrozí epidemie: http://www.lupa.cz/clanky/maly-cesky-isp-zpusobil-svetovy-kolaps/
Se zakladni myslenkou se plne ztotoznuju, casto jsem ji i sam ventiloval. Opravdu me netrapi, ze ma Linux tak malo uzivatelu. Ba me to dokonce vyhovuje. Nejsem si jisty, ze zrovna kvuli bezpecnosti, ta je dana nejenom malym rozsahem uziti (klasicky argument zastancu Win), ale asi i objektivne. Uvazuji trochu jinak. Pokud se prumernym uzivatelem Linuxu stane sekretarka, bude se GNU/Linux (logicky) prizpusobovat tomuto prumeru. Nejsem sekretarka, takze mi tohle nevyhovuje.
[6] "Pokud se prumernym uzivatelem Linuxu stane sekretarka, bude se GNU/Linux (logicky) prizpusobovat tomuto prumeru. Nejsem sekretarka, takze mi tohle nevyhovuje."
Ak tá sekretárka dostane hotový nainštalovaný systém a bude mať právomoci užívateľa, ale nie administrátora, nevidím v tom problém a dovolím si tvrdiť, že bežné distribúcie s GUI sú už teraz vhodné aj pre priemerne inteligentné sekretárky. Takže možno by si mal prejsť na niečo zložitejšie, hodné Tvojej úrovne... ;-)))))
[7] Ty jsi ale jetel... Proc si myslis, ze Windows dodnes nema jasne a striktne udelana uzivatelska prava? Protoze to ten "prumerny uzivatel" nechce, fakt ne proto, ze by byl MS neschopny. Proc sakra asi ti chytri lide z Ubuntu sli v tehle oblasti jenom o krucek dal? Asi jim to doslo. Prumerny uzivatel nema za zadkem schopneho admina, aby bleskem vyresil vsechny jeho pozadavky, tak to nefunguje. Takze tvuj komentar je hloupy.
Jinak o slozitosti tady mluvis jenom ty sam, protoze si nepochopil vyznam meho komentare. No cert mi te byl dluzny, takhle me uz dlouho nikdo nenastval.
Můj názor je, že masovému nasazní linuxu brání hlavně nejednotnost. Jakmile před lidi postavíte 20 distribucí s tím, že si musí vybrat, jsou z toho zmatení a nakonec to zavrhnou. To samé platí s nastavním, ideálně potřebují one-click install a co hlavně, potřebují aby to u všech bylo +- stejné. Jde to k vidění u M$, kde klesá možnost nastavení, všechno je zadrátované natvrdo, všude se podbízí "ideální" default nastavení a podobně, takže když pak zavolají kamarádovi s tím, jak se ve Vistě dělá něco, může mu říct "a)...b)...c)". V Linuxu závisí na mnoha věcech, nakonec jenom vzhled jde předělat k nepoznání bez instalce dodatečných aplikací, už to lidi mate.
Na druhou stranu, v tomto je i síla (člověk si může vybrat co mu vyhovuje, pokud ovšem má náladu to zkoumat) a pro mě důvod, proč jsem přešel na Linux, prostě pro mě minimální konfigurovatelnost systému ve win přestala být únosná + Linux urazil za posledních pár let hodně velký kus cesty. Konkrétně s Ubuntu jsem byl doslova v šoku, jak všechno po instalaci fungovalo (dokonce toho bylo víc než po default instalaci XP, respekt.). Nicméně se obávám, že nepreprezentuji průměrný vzorek IT v populaci a řada lidí prostě nemá chuť něco zkoumat a semtam řešit nějaký problém s googlem.
Co se týče bezpečnosti, neřekl bych, že jeden ze systémů je výrazně bezpečnější, dobře nakonfigurované systémy s lidmi dodržujícími určité zásady jsou podle mě na srovnatelné úrovni (pokud nepočítám dodatečnou ochranu například jailem a podobně, zde asi win určité prvky postrádá). Sdílím proto názor s autorem článku, že viry na linux nejsou hlavně protože se nevyplatí je psát. Nicméně to, co živí software je především komunita uživatelů, kdyby jej používalo více lidí, myslím si, že by byl určitě na lepší úrovni (koloběh sponzorů, grantů na vývoj, komunity, reklamy, OVLADAČŮ HW, prostě tlak populace), proto by mi nevadilo kdyby se rozšířil masově. Nakonec BSD, velmi hodně nasazované na serverech, taky neznamá, že je internet nespolehlivý, spíš naopak, BSD je díky tomu spolehlivější a bezpečnější, protože je na to vyvíjen tlak. U OpenSource platí víc než kdekoliv jinde, že malá komunita = smrt. Čili go ahead, spread Linux :)
[10] Nejde o to, kolik lidi v te "komunite" mas, ale jake jsou jejich kvality. Komunita slozena z milionu sekretarek (uz se omlouvam vsem sekretarkam) neudela se softwarem nic. Komunita slozena ze 10 IT gramotnych lidi mozna bude vyvijet OpenSource. Komunita slozena z milionu sekretarek a 50 IT gramotnych lidi zacne za penize vytvaret system vhodny pro prumernou sekretarku. Kdybych chtel tu posledni variantu, bootuju do Win, to uz tady totiz je. Ja tam nechci, dekuju pekne :-)
V knihe KUKAČČÍ VEJCE, autor Cliff Stoll , str. 177 ( http://knihy.root.cz/kniha/kukacci-vejce ) je uvedene toto (popiseje sa stav na konci 80. a zaciatku 90. rokov v USA):
Počítačové viry jsou specializované: virus, který pracuje na IBM PC, nesvede nic s Macintoshem nebo unixovým počítačem. Podobně měl virus z Arpanetu napadat jen systémy provozující Berkeley Unix. Počítače s jiným operačním systémem - jako AT&T Unix, VMS nebo DOS - byly naprosto imunní. Rozmanitost tedy pracuje proti virům. Kdyby byly všechny počítače na Arpanetu používaly Berkeley Unix, byl by jich virus vyřadil všech padesát tisíc. Takhle jich infikoval jen dva tisíce. Biologické viry jsou specializované úplně stejným způsobem: chřipku od psa nechytnete. Byrokrati a manažeři na nás nepřestanou naléhat, abychom používali jeden standardizovaný systém: „Budeme užívat jen pracovní stanice Sun“ nebo „Kupujte pouze systémy IBM.“ Nicméně naše počítačová společenství zůstávají různorodá - stroje Data General stojí vedle Digital Vaxů; IBMky jsou napojeny na Soníky. Stejně jako naši sousedé i naše počítače prosperují díky své různorodosti.
Trochu nešťastný příklad
můžete krásně vidět, kolik stupňů je za oknem, aniž byste museli vystrkovat nos. Velmi dobré a výhodné do té chvíle, než zjistíte, že u vás v paneláku je ještě asi dalších 10 lidí, se stejnou stanicí a že vy nemáte možnost chytit své "čidlo" a že přijímáte informace od souseda.
Získáte tak stanici s deseti čidly za okny sousedů a své čidlo dáte ven až odejdou čidla sousedům, ti pak mohou přijímat vaše čidlo. V důsledku je to efektivnější, než jedna stanice v baráku. :-)
Různorodost skutečně brání snadným útokům. Aby mohla fungovat různorodost, musím nezbytně klást velký důraz na standardy - aby se různé systémy domluvily. Takže - na prvním místě jsou standardy. Je mi jedno, jestli certifikované ISO, nebo jen de-facto standardy, ale hlavně perfektně dokumentované.
[13] Chřipku od psa pochopitelně chytnete, a ten pes od vás taky. Noční můrou je ptačí chřipka (člověk se nakazí jen při opravdu masívním infikování se, např. chovatelé bojových kohoutů vysávají svým miláčkům hleny z nosu - ústy - než je hodí do arény). Průšvih by nastal, kdyby se nakazil člověk současně nakažený normální lidskou chřipkou a ty viry ze zkombinovaly (což je něco, co počítačové viry (zatím) nedovedou), pak by se výsledek mohl šířit mezi lidmi jako chřipka lidská, ale mít fatální průběh s vysokou smrtností jako chřipka ptačí. Virus vztekliny napadá (přinejmenším) prakticky všechny savce.
Je i virus společný pro člověka (střevní buňky) a rajče (dělá skvrnitost listů, ale je i v plodech. Jak asi koluje, je jasné :-)
Vedle toho jsou viry vysoce specializované, např. viry některých lidských žloutenek jsou schopné napadnout ještě lidoopy, a malé opice už ne.
Osobne bych uvital vic kdyby vsichni pouzivali ruzne variany svobodneho OS nez M$ produkty. Kdyz nekdo obhajuje Windows, musi si taky uvedomit kolik za ne plati statni (verejne) organizace z verejnych penez. Nemam nic proti tomu kdyz si soukroma firma zbytecne nakoupi milion licenci windows, ale stve me kdyz se to dela za verejne penize.
Za sebe bych rád viděl svobodný software všude. Nejlépe i svobodný HW (tj. svobodný firmware + otevřené specifikace). Co se týče bezpečnosti, problém byl, je a bude spíše v lidech než v OS. Dokud bude BFU na všechno klikat, dokud nebude o bezpečnosti tušit ani smítko na dně studnice informací, bude vždycky prostor pro malware, trojany, spam a leet haxory. A jelikož i vývojáři dělají chyby, bude vždy jistý prostor pro black haty. I když, pokud na trhu nebude jeden OS s 90% podílem, ale bude tu alespoň něco jako oligopol s více než jednou "major" distribucí/OS a konkurenčním lemem v podobě menších distribucí/OS, budou to mít hošíci trošku těžší.
Linux i jiný OSS dnes rozhodě na okraji zájmu není. Nesmíte se nechat mýlit masovou spotřebkou jako jsou notebooky z Tesca kdejakého Franty Vopičky - prostě běžným masovým desktopem. V kruzích kolem aplikačních serverů, Oracle databází, virtualizace si troufám tvrdit, jde dnes mnohde už o nepsaný standard, na Internetu běží obrovské množství serverů s OSS (nejen OS, ale i WWW servery atd.), Linux najdete pomalu v každém druhém domácím routeru za pár stovek, nedavno jsem v běžném obchodě viděl dokonce i DVB-T televizor, ve kterém Linux běžel.... Rozšíření je značné a pro tvůrce škodlivého kódu už jistě zajímavé. Přesto je škodlivého kódu řádově méně než u nejmenované platformy. Vliv na to má jistě určitá variabilita, ale také přímo princip fungování tohoto OS - dostat tam zvenku škodlivý kód prostě není tak snadné a autorům všelijaké havěti se prostě nevyplatí do toho investovat více času když pro nejmenovanou platformu vyvine za stejnou dobu červy třeba 4.
Nechci přímo, aby OSS dominoval. Myslím, že konkurence s čistou komercí jako jsou třeba Windows je velmi žádoucí - mohou jednak sloužit jako pozitivní příklad co se slušivého kabátku a např. snadné práce s ovladači týče a jako příklad odstrašující co se týče toho ostatního. Obě větve se prostě vzájemně provokují ke zlepšování.
Máš pravdu v tom, že pro Linux je málo virů proto, že je málo rozšířený (jejich psaní se nevyplatí). Ale jsem přesvědčen, že by Linux (resp. open source) v bezpečnosti obstál mnohem lépe než jeho uzavřená konkurence i v případě, že by se stal většinovým.
Uzavřený sofwtare má totiž dost málo vývojářů, kdežto open source zdrojáky si alespoň čte mnohem více lidí. Těch pár vývojářů uzavřeného softwaru tak bojuje se všemi „hackery“ světa, zatímco ve světě open sourcu se spolu utkávají vývojáři a bílí klobouci na jedné straně a černí klobouci na straně druhé. A tady má navrch právě dobro nad zlem.
Hraje zde roli i určitá ješitnost a snaha se pochlubit – někdo se chce pochlubit exploitem a někdo jiný záplatou proti němu – uzavřený software má tu nevýhodu, že záplaty může psát jen těch pár (jednotek, desítek) lidí, kteří mají přístup k danému uzavřenému softwaru.
[1]
plný souhlas
kdyby byl linux napadnutelný tak jako win tak by se nepsaly wiry na win na stanicích aby kradly hesla k bankovním učtům , FTP , mysql a jiné ... dyt je to hrozně neefektivní psát wirus na win... věřte tomu že utočníci byc htěli wirus(spíše lirus) na linuxu , boužel toho nejsou schopni dosáhnout , tak jim nezbývá nic jiného než rabovat stanice s win když je na serveru linux...
Počet wirů na win/lin nemá nic společného s kvantitou ale s kvalitou
[26]
A když ten virus už budete psát a budete vědět, že píšete virus pro systém, který běží na 1 000 000 počítačů nebo pro systém na 10 000 počítačů, který si vyberete? kde získáte více citlivých informací při stejné pravděpodobonsti?
Já zase věřím tomu, že kdyby byl poměr obrácený, způsoby jak se k uživatelům dostat se najdou vždy bez ohledu na to, jak těžké to proniknutí je. Sociální inženýrství funguje bez ohledu na OS.
Z jiného soudku - jak si tedy vysvětlíte nepoměr makro virů MSO vs OOo?
[27] Vyberte si: napíšete virus, který napadne milion počítačů a možná tam něco ukradne (a možná to i někam odešle, pokud se dostane přes firewall nebo antivir) nebo který napadne sto počítačů banky, antivir jej nezdetekuje (protože bude ten vir tak málo rozšířený) a pošle spousty peněz na váš účet do Švýcarska. Co si vyberete?
Ten nepoměr makrovirů podle tohoto principu funguje, ale už ne nepoměr virů kradoucích peníze nebo osobní údaje. Samozřejmě sociální inženýrství je taky silná možnost, ale jen málo úspěšných virů jej používalo či používá. Je dost možné, že by se s masovějším rozšířením Linuxu začalo víc využívat, ale sociální inženýrství musí být lépe cílené (= méně obětí) než útok na běžnou bezpečnostní díru.
,,Také si koupíte auto (třeba od jednoho tradičního českého výrobce) a když přijedete na parkoviště zjistíte, že stejný model má asi tak 50 dalších lidí. Když se objeví zloděj, může si vybrat a vy máte o starost více.'' - já bych to viděl spíš tak, že se nebude moct vybrat -> čím více je možností, tím větší šance, že se netrefí ;) Problém je, když jedna chyba pronikne všude a on si jen ovladačem v kapse otevře všechny auta na parkovišti. Sice s nima neodjede, ale škodu napáchá (případně to za něj někdo dodělá). Mě osobně by nevadilo, kdyby byly systémy tak 35% GNU/Linux a zbytek ať je cokoli - vadilo by mi, kdyby byly všechny stejný. Právě roztříštěnost systémů je velká výhoda - několik komunikátorů, přehrávačů, internetových prohlížečů,... Aby většina světa používala jednu aplikaci pro určitou činnost zřejmě nehrozí (už jen díky tomu, že existuje KDE a Gnome), tím se snižuje riziko. A když už někdo napadne PC s určitou kombinací SW, není pro ostatní uživatele (kteří ještě napadeni nejsou) problém začít používat jiný SW a vrátit se, až se vyřeší chyba. Sice má zloděj parkoviště s kupou aut různých značek a stupňů výbavy...ale je jen malá šance, že bude znát opravdu všechno, co je potřeba k řekněme ukradení auta. Zjednodušeně: čím víc rozšířených kombinací SW bude, tím líp - když bude GNU/Linux ovládat 35% uživatelů PC, tak si část vybere KDE, část Gnome a každý jinou aplikaci pro konkrétní činnost....a pokud se nepletu, tak systém lze napadnout spíš přes aplikaci, než že by se zničehonic změnila část jádra. Co na tom, že bude třeba 50% uživatelů PC používat jednu aplikaci? PC se liší prostředím, verzí SW (takže ve výsledku lze napadnout třeba už jen desetinu, záleží na aktualitě repozitářů) a myslím že vliv bude mít i verze jádra a kdoví čeho ještě....a napadnout třeba 0,5% už se někomu nevyplatí. Zato znát chybu všeho SW (aut) jednoho typu může skončit tragicky (určitý verze Windows...starší se hroutí samy, na ty už se nevyplatí útočit).
Roztříštěnost je obrana proti masovým útokům ;)
Profesionální ajťák pracující pro korporát (narozen 1974). V soukromí však rád prosazuji svobodný software. Snažím se mít přehled o technologiích a trendech. Zastávám názor, že pokud chci něco kritizovat, musím s tím mít nějakou zkušenost. Jsem hrdý manžel, otec dvou dcer a opečovávatel kočky plemene Britská modrá krátkosrstá. Mám rád hudbu, knihy a kulturu obecně. V některých věcech však jdu proti proudu – používám Linux (konkrétně ZorinOS), svobodný software (LibreOffice, GIMP, Inkscape či Joomlu!) a jezdím v hybridním japonském autě.
Přečteno 44 072×
Přečteno 39 640×
Přečteno 34 261×
Přečteno 25 388×
Přečteno 25 083×