viry - dotaz
Pavel PaJaSoft Janousek
janousek na fonet.cz
Pátek Květen 14 10:11:29 CEST 1999
>Netroufal bych si tvrdit, že Linux je výrazně bezpečnější než
>NT. Alespoň z hlediska architektury systému.
A to ja zase ano, protoze:
1. Kdyz uz jsem v posledni dobe narazel spise na exploity u Linuxu,
zpravidla vyuzivaji aplikaci, nikoly Kernel (prosim nezamenujte tyto dve
zcela rozdilne veci), ktera mela vyssi nez uzivatelska prava - proc asi by
http a jine nemely byt spusteny primo pod Rootem? Nebo taky SQL server -
napr. mysql nebo postgresql v manualu primo pise, ze _nedoporucuje se_
spoustet to pod rootem...
2. Komunita 'sdilnych' uzivatelu a vyvojaru kolem Linuxu reaguje _velmi_
svizne na tyto zname bezpecnostni problemy, dokonce i firmy distribuujici
Linux maji errata - treba takovy RedHat => oprava je mozna velice rychle,
protoze velice rychle je vyrobena zaplata nebo alespon ve znamost vejde v
konferencich a je ciste na lidech aby si je sledovali (hlavne spravci
siti...)
3. Komunita vyvojaru kolem Windows je _velmi nesdilna_. Cokoli se objevilo
je objeveno nahodne nebo zamerne se znalosti internich 'magickych'
vlastnosti Windows. Zaplatu dela samotny MS a kolik uz mame service packu,
patchu atd..? A jak casto je zverejnuje? A nehlede k tomu, ze co se tyka
samotneho jadra (v tomto pripade nelze oddelit i to hafo 'systemovych'
knohoven) kdo jiny nez MS muze udelat napravu a jak rychle to dela?
4. Uzivatele Windows jsou pouze odkazani co se jim donese, MS zpravidla na
zacatku rekne, ze chybu analyzuje, ale ze by ji potrvdil a pospisil si s
patchem - to se stalo pouze v par pripadech a to jeste ne samotneho OS, ale
IE nebo IIS a pod. - a ze to byly diry do nebe volajici, skolaci by takovy
soft psali bezpecneji, protoze jinak by to nemeli sanci odevzdat a mit radne
ohodnoceno. A kde lezi seznam znamych chyb a patchu na ne? Nikde... kdo co
nepochyti, zapadne a uz neni... - opravte me, pokud se mylim, ja o zadnem
URL (tim mene u MS) nevim...
5. Primo v kodu jadra Windows jsou takove moznosti na prepisovani procesu
(nektere 'API' funkce jsou dokonce dokumentovane) a vubec obecne zasahu do
adresoveho prostoru jine aplikace, ze se vube cnedivim, co se deje a delo.
Neni to tak davno, co jeden exploit vyuzival 'dokonale' architektury WinNT a
dokazal prepisovat uplne cokoli co bylo v pameti a tim modifikovat co se mu
zachtelo...
6. Loni na Studentske vedecke konferenci jsem na zaver zhodnotil jisty
databazovy projekt a rekl jsem, ze WinNT nepovazuji za vhodnou databazovou
platformu z hlediska bezpecnosti, stability, zachazeni se systemovymi
prostredky a rychlosti na 'normalnim' hardware (tim nemyslim RAID pole s
mirroringem a interleavingem za 50 tisic a nekolik desitek radove GB disku a
4 PII masinku). Meli jste videt, jak se na me zastupnce ComputerPressu,
ktery pred chvili obhajoval proc Vltava presla od Linuxu k WinNT a MS sqelym
technologiim, a jini sesypali a kritizovali... bohuzel pro ne jsem si sva
stanoviska obhajil a jejich namitky odpalkoval jednoduchosti hry trefeni se
micku ping pongovou palkou... Bohuzel pro me jsem vsak diky tomu skoncil
nekde v poslednich pozicich, protoze jsem prisel o spoustu casu, ktery jsem
mel na obhajobu sveho projektu.
Takze zaver - IMHO Linux a WinNT nelze z hlediska bezpecnosti jako celek
porovnavat, protoze architektonicky jsou natolik rozdilne, ze porovnavate
hrusky s jabky. Bohudik i MS se uci docela flexibilne (na firmu takovych
mamutich dosahu), ze mam pocit, ze ve WinNT 5.0, alespon co jsem slysel
nektere veci zacina implementovala ala Linux, resp. na Linuxu jsem videl
implementaci poprve, prestoze teorie existuje diky univerzitam treba desitky
let...
-------------------------------------------------------------------------
Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, sprava siti, Unix, Web, Y2K Anenska 11, 602 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
--------------------------------------------------------------------------
Další informace o konferenci Linux