reakce na amatersky clanek o bezpecnosti Linuxu

Martin Macok martin.macok na underground.cz
Úterý Květen 23 11:39:34 CEST 2000 

Dobry den,
reaguji na amatersky clanek o Linuxu, ktery byl dnes zverejnen na
Neviditelnem Psu (http://pes.internet.cz/clanky/2036_0_0_0.html).

Clanek je snuskou autorovych nepodlozenych nazoru, polopravd, lzi a
nesmyslu. Autor evidentne problematice temer vubec nerozumi.

Podrobnejsi rozbor prikladam v priloze.

Preji hezky den

-- 
< Martin Mačok        martin.macok na underground.cz           <iso-8859-2> 
  \\  http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/  //
    \\\             -=  t.r.u.s.t  n.0  o.n.e  =-                ///
------------- další část ---------------
>   Linux je operační systém, který vymyslel student z Finska Linus
>   Torvalds a dále ho vyvíjejí amaterští programátoři - většinou studenti
>   vysokých škol. 

Dnes už zdaleka není pravda, že je to dílo amatérů. Mnoho lidí ve špičce
vývovojového řetězce (stromu) Linuxu jsou profesionálové, kteří jsou za to
placeni (namátkou firma SuSe, Red Hat ...).

>   Linux pracuje na klíčových místech Internetu. Jeho práce není vidět, ale síť
>   se bez jeho služeb neobejde. Napíšete-li ve svém prohlížeči vaši oblíbenou
>   adresu, je to většinou program běžící pod Linuxem, který vaše informace
>   zpracovává. 

To také není pravda, statistiky využití operašních systémů tvrdí něco
jiného:
34% MS Windows
30% Linux
12% Solaris (Sun)
10% BSD Unixy
3% Apple
2% Zbylé Unixy

Zdroj: http://www.leb.net/hzo/ioscount/

>   Zajímavé je to, že právě Linux je nejčastějším cílem hackerů. 

To také není pravda, MS Windows je bezkonkurenčním vůdcem v počtu úspěšných
napadení/změn webovských stránek.

Zdroje:
http://attrition.org/
http://www.attrition.org/mirror/attrition/os-graphs.html
http://underground.cz/clanek.html?id=344

>   Hlavně proto, že zdrojový kód Linuxu je otevřený a lépe se v něm
>   hledají různé chyby. 

Ano, proto je velice rychle někdo objeví, oznámí a opraví. Bezpečnostní
chyby ve světě Linuxu jsou řešeny ještě tentýž den a bezpečnostní záplaty
jsou volně k dispozici nejpozději do druhého dne.

>   Konference o bezpečnosti jsou plné různých exploitů, které dokáží
>   geniálně těchto chyb využít. Např. za minulý rok, se objevilo v
>   konferencích o bezpečnosti minimálně 30 nebezpečných remote exploitů,
>   určených na některý Unixový systém. Z toho asi dvacet na Linux. 

Nevím, kde autor tyto údaje vzal, ale rozhodně jsou zcestné. Nejznámější,
nejúplnější a nejdůležitější celosvětová konference o bezpečnosti,
zaměřená především na chyby v operačních systémech, serverech, oznamování
bezpečnostních chyb, jejich oprav a zveřejňování exploitů se jmenuje
BUGTRAQ a provozuje ji server www.securityfocus.com. Ten vydal svoji
statistiku, v které ve většině kategorií vedou právě MS Windows.

Zdroj (statistika):
http://www.securityfocus.com/frames/?content=/vdb/stats.html

>   Tyto exploity, jsou většinou zveřejňovány jako
>   zdrojové texty v jazyce C a práce s nimi není jednoduchá.

Práce s nimi většinou jednuduchá je. Autor se zde nepřímo přiznává, že
problematice příliš nerozumí.

>   Dovolím si tvrdit, že díky Linuxu, může na Internetu tikat časovaná
>   bomba. 

Toto je ničím nepodložený názor. Naopak díky Linuxu může na Internetu
existovat velké množství serverů/informačních zdrojů, které by jinak
existovat nemohly.


>   U nás situace nemusí být o nic lepší. Někdy na přelomu let
>   96/97, kdy nastal u nás internetový boom, mnoho menších počítačových
>   firem začalo nabízet internetové služby právě prostřednictvým Linuxu.
>   Většina těchto systémů, byla velmi špatně zabezpečena.

Není pravdou, že v ČR jsou nějak méně zabezpečené systémy, než jinde ve
světě. Autor zase vyjadřuje ničím nepodložený názor.

>   Každý uživatel,
>   který měl na takovém Linuxu uživatelské konto, se mohl přihlásit přes
>   FTP a prohledávat celý adresářový strom. Např. distribuce Linuxu Red
>   Hat byly v tomto směru velmi špatně zabezpečené. Každý uživatel, mohl
>   prohledat celý adresářový strom a analyzovat data. Dokonce super tajný
>   soubor hesel passwd, mohl každý číst nebo si jej stáhnout na svůj
>   počítač a luštit hesla pomocí různých programů. 

Tímto odstavcem se autor definitivně prozradil. Každý, kdo jen trochu
rozumí unixu ví, že passwd není vůbec supertajný, hesla se v něm už delší
dobu vůbec nevyskytují, a i kdyby - šly by "luštit" pouze přímo na tom
počítači - nikoliv po stažení na svůj počítač. Tímto se autor definitivně
přiznal, že píše o něčem, o čem slyšel "z rychlíku".

>   Dalším zajímavým problémem je fakt, že např. Linux od RedHatu, nemá
>   žadný diagnostický program na kontrolu integrity binárních programů. V
>   Linuxu je možné bez problému přepisovat binární programy a měnit tím
>   základní nastavení systému. 

Další blábol, autor potvrzuje závěry z minulého odstavce.

(1) V Linuxu není možné bez problému přepisovat systémové soubory
(jako třeba v MS Windows 9x), protože uživatel na to prostě nemá právo.

(2) Konkrétně na Red Hatu lze standardně kontrolovat integritu souborů v
systému příkazem "rpm -Va" a není žádný problém doinstalovat si do systému
nějaký sofistikovaný systém pro detekci průniku (tzv. IDS - Intrusion
Detection System).

>   Typickým příkladem je logovací systém Linuxu. Ten slouží k
>   zaznamenávání většiny operací, jako např. přihlášení do systému,
>   odhlášení, odkud, v kolik hodin atd. Zkusili jste někdy ve Windows
>   otevřít takový binární soubor, např ve Wordpadu? Objeví se před vámi
>   pouze nesmyslné znaky. Přesto lze v Linuxu podobný binární soubor
>   editovat a změnit některé znaky. Linux pak např. přestane evidovat
>   přihlašující se uživatele nebo toto přesměruje do jiného souboru. 

Holý nesmysl.

(1) Uživatel nemá právo ani logy číst, natož do nich svévolně zapisovat.
Systém mu to nedovolí (pouze přes příkaz logger, ale i to lze jednoduše
zakázat.)

(2) To, že v MS Windows je údajně hůře čitelný log než v Linuxu nemá
ABSOLUTNĚ nic společného s tím, zda jsou Windows bezpečnější systém než
Linux.

(3) To, jak si správce nakonfiguruje systémový log je na něm. Důležité
události lze logovat třeba i na tiskárnu, sériovým kabelem na
ultrabezpečný počítač nebo zašifrovaně bezpečně po síti na ultrabezpečný
počítač (takzvaný blackbox - černá skřínka).

>   Linux se neustále vyvíjí a hlavně jeho bezpečnosti, je věnována v
>   poslední době mimořádná pozornost. Některé bezpečnostní rutiny jsou
>   instalavány přímo do jádra systému. Jednou určitě přijde doba, kdy z
>   pohledu bezpečnosti nebude nejslabším člankem řetězu operační systém,
>   ale lidé kteří jej ovládají. O tom by mohl být klidně samostatný
>   článek.

Jednou určitě přijde doba, kdy o Linuxu a bezpečnosti budou psát jen lidé,
kteří vědí, o čem píší. Vždy platí, že nejdůležitějším článkem v
počítačové bezpečnosti je lidský faktor. Podstatná část hackerských útoků
je úspěšná díky tomu, že dotyčný administrátor není dostatečně kompetentní
a systém nezabezpečil. Není to o tom, že Linux je lepší/horší než MS
Windows.

Podrobněji se o tom rozepisuji v (bohužel zatím ještě nedokončeném seriálu
"Děravej jak řešeto" na serveru http://underground.cz/):

http://underground.cz/clanek.html?id=335
http://underground.cz/clanek.html?id=340

Martin Mačok <martin.macok na underground.cz>

Další informace o konferenci Linux