Пријава


Да ли сте заборавили лозинку?
prijatelji LUGoNSa
gnu.gif
linuxzasve.jpg
hulk.jpg
zextras_logo.png
 
Налазите се овде: Дом / Vesti / Hasta la Vista, deo 3: O sigurnosti Windowsa i drugim oksi-moronima

Hasta la Vista, deo 3: O sigurnosti Windowsa i drugim oksi-moronima

аутор: Nikola Kotur Последња измена 01:26 28.09.2006.
Treći i pretposlednji deo sage o očekujućem operativnom sistemu najpoznatije softverske kuće na svetu. Ovaj put, analizira se sigurnost.

Ukoliko često čitate moj blog, znate da imam određenih problema sa urednicima, posebno kada izveštavaju o IT razvoju (tema o kojoj znam dve-tri stvari). Poenta je, nalazim da je većina njih ili suviše glupa ili suviše korumpirana. Već sam izveštavao o Open Source SNS (FUD, u prevodu: strah, nesigurnost, sumnja) etici i poredio je sa etikom koju bi urednici trebali da prate. Čak to i ne radim loše:

  • Da provere tačnost informacija iz svih izvora i da se potrude da izbegnu nenamerne greške. Namerno iskrivljivanje nikada nije dozvoljeno.

  • Da prave razliku između zastupanja i novinarskog izveštavanja.

  • Da razlikuju vesti od reklamiranja i da odbace hibride koji zamućuju granicu između to dvoje.

Zašto Majkrosoftu dajete platformu da širi svoj SNS? Zašto vi momci namerno širite SNS? Gde je nezavisno istraživačko novinarstvo na koje ste bili tako ponosni u prošlosti? Da li zaista mislite da objektivno izveštavate o svetu oko vas i o onome što se zaista dešava?

  • Podržite razmenu pogleda, čak i pogleda sa kojima se ne slažete.

  • Snažno ispričajte priču o raznolikosti i veličini ljudskog iskustva, čak i kada to nije popularno činiti.

  • Dajte glas onima bez glasa; zvanični i nezvanični izvori informacija mogu biti podjednako ispravni.

  • Tražite one koji se pominju u vestima da biste im dali priliku da odgovore na navodno loše ponašanje.

Mi smo već srećni ukoliko neki komentari prođu pored moderatora. Teško čak i urednik – ili bilo koji drugi IT novinar kad smo već kod toga – traži od Open Source predstavnika komentar. Samo pokupite izjave za novinare – ili još gore: preuzmite ih sa Interneta, da ne biste morali da ih prekucavate – i unesite ih u svoj uređivač teksta. Moram priznati, to štedi dosta vremena, ali da li je to zaista pravo novinarstvo ostaje da se utvrdi.

Dokaz broj jedan. Gde su novinarski izveštaji o Linuxu u 1999. godini? Većina ljudi – uključujući i mene – je još uvek mislila da je eksperimentalan, sistem koji se pokreće u komandnoj liniji. Razmišljao sam da kupim Windows NT sistem kada sam kupio nemački časopis i video da je Linux perfektna zamena za Windows 3.11. Instalirao sam ga februara 2000. i nakon nekoliko meseci sam pokretao Windows 3.11 možda jednom nedeljno samo da bi odigrao DOS igricu ili skenirao sliku. Stvarna istorija “priče o raznolikosti” i “davanja glasa onima koji ga nemaju”, a?

Dokaz broj dva. Pokrivanje Linux tema u Norveškoj je vrlo malo, u najboljoj meri. Većina norveških časopisa ne uspeva da vidi razliku između “Freeware” i “Open Source”, iako priznaju da postoji nešto što se zove “Shareware”. Jedino pitanje o Linuxu koje ćete videti je “Kako da deinstaliram Linux”, a jedini Linux članci koji se objavljuju imaju naslove kao što je “Da li Linux posle svih ovih godina i dalje nije spreman za desktop”? Glavni argument: “većina ljudi koristi Windows”, što je tačno i ukoliko vi nećete vršiti svoju dužnost kao novinari, ostaće tako.

Od tih časopisa, Computer!Totaal stvarno nije najgori. Oni čak znaju da postoji nešto što se zove Open Source i svako malo izveštavaju kako da koristite Linux da biste podesili neku vrstu servera. Neki urednici su spremni da duboko diskutuju sa vama, što je dobra stvar. Međutim, uvodna reč za septembarsko izdanje je najgora koju sam video dugo, dugo vremena.

Hose Poti je izjavio kako kupovanje sigurnog računara nema smisla. Ljudi su jednostavno suviše glupi za takve uređaje. Oni posećivaju sumnjive sajtove, klikću na svaki zakačeni fajl, instaliraju ActiveX komponente. Sigurni računari su bacanje novca.

I to sebe zove – kako bih izbegao predrasude, nadam se da je to muškog pola – urednikom. U pitanju je odličan primer kako se neki urednici mogu izmaći van kontrole i pisati čiste gluposti ukoliko nemaju odgovarajući dodir sa sebi sličnima. Razmislite o tome: ne morate da kupite dobru bravu pošto svakako otvarate vrata čim neko pozvoni na njih. Još bolje, zašto uopšte kupovati vrata? Sve kuće su ionako ranjive. Hej, u većini slučajeva ljudi ni ne znaju kada neko provali u njihovu kuću. Jedini način da osigurate svoju kuću jeste da se zazidate u nju. Sigurnost? Bolje sačuvajte svoj novac! To ne može biti postignuto!

Ipak, mogu da se smejem takvom neznanju, sve dok se ne pojave blatantne laži. Linux jednostavno izgleda sigurnijim, zato što ih je samo nekoliko. To je SNS. A ako ste kompetentan urednik, znate da je to SNS. Zašto? Pa, kada se radi o web serverima, najčešća meta je Apache, server kojeg je izabrao Internet, čak i posle pokušaja Majkrosofta da spusti njegov udeo. Napadi na Apache su, bez obzira na to, mnogo manje brojni i prouzrokuju manje štete. A u nekim slučajevima, napadi u vezi sa Apache serverom su bili najozbiljniji na Windows mašinama. Napadi jesu, naravno, ciljani na Windows zbog broja korisnika, ali njegov dizajn ga čini mnogo lakšom metom i napadu je mnogo lakše da napravi haos. Windowsovo široko rašireno (i često bespotrebno) korišćenje osobina kao što je RPC u međuvremenu dodaje ranjivosti kojima tu zaista nije mesto. Dizajn Linuxa nije ranjiv na iste načine, i bez obzira koliko uspešan eventualno postane jednostavno ne može imati napade istog nivoa, uključujući slične nivoe štete, u poređenju sa Windowsom.

Zašto je Windows toliko ranjiv? Postoji nekoliko razloga za to. Prvo, Windows je dugo bio ograničen svojim poreklom jednokorisničkog sistema. Windows je originalno dizajniran da dozvoli i korisnicima i aplikacijama da slobodno pristupaju celom sistemu, što znači da bilo ko može da čačka sa kritičnim sistemskim programima ili fajlovima. To znači da isto to mogu da radi i virusi, Trojanci, spyware i drugi zlonameran softver. Windows Server 2003 je napravio neki napredak prema pravim višekorisničkim mogućnostima, ali čak ni Windows Server 2003 nije izbegao sve ostatke jednokorisničkih sigurnosnih rupa. Zato je Windows Server 2003 morao podrazumevano isključiti mnoge brauzer mogućnosti (kao što su ActiveX, skripte, itd.).

Drugo, Windows je monolitan po dizajnu, a ne modularan kao Linux i OS/X. Ovi arhitektonski modeli imaju veoma duboke sigurnosne implikacije, jedna od njih je to što monolitni sistemi čine sigurnosne ranjivosti kritičnijim nego što bi mogle biti, pošto svaka greška u delu sistema se prenosi na sve servise i aplikacije koje zavise od tog dela. Na primer, kada je Majkrosoft integrisao Internet Explorer u operativni sistem, Majkrosoft je naprvio sistem u kome bilo koja greška u Internet Exploreru može da izloži vaš Windows desktop riziku koji je mnogo širi od onoga što radite vašim brauzerom. Jedna jedina greška u Internet Exploreru je stoga prenesena u nebrojeno drugih aplikacija, mnoge od njih mogu koristiti Internet Explorer na način koji nije korisniku očigledan.

Ukoliko ste Windows korisnik i čitate ovo koristeći Internet Explorer, mogu da vam savetujem samo jednu stvar: otiđite do najbližeg mesta distribucije Firefoxa, pokupite paket od 5 MB, instalirajte ga i vratite se ovde. Još uvek čitate? Postajete crveni u licu? Mislite da nisam fer? Pa, izazivam vas da iskopirate nekoliko brojeva kreditnih kartica u vaš klipbord. Bilo bi fino ako biste dodali i nekoliko PIN brojeva. Ja ovo radim takođe na mojoj Linux/Firefox radnoj stanici, ne brinite. Neće inficirati vašu Windows instalaciju na bilo koji način, samo će pokazati kako informacije mogu da iscure – i tako funkcioniše i sa drugim informacijama, ne samo brojevima kreditnih kartica. Sada kliknite na ovaj link. Još uvek ste srećni sa Windowsom i Internet Explorerom? Još uvek mislite da nisam fer? Evo kako se to radi. Zapamtite da je ovo samo jedna od ranjivosti Internet Explorera.

I poslednje, ali ne i najmanje, zbog užasnog kvaliteta koda iz samog Majkrosofta.Ovaj blog je zaista šokirao neke ljude kada se pojavio. I nemojte misliti da će Vista biti mnogo bolja. Osim što je potežu UAC iskakači, samo će biti još gore pošto je Majkrosoft odlučio da sigurnost ne može biti prepuštena trećim licima. Pa, to je dobar osećaj, biti totalno zavistan od Majkrosofta što se tiče digitalne sigurnosti...

Neki Windows zastupnici se prse time što Windows ima C2 nivo sigurnosti, ali malo ljudi zna da je ovo validno samo za pojedinačnu konfiguraciju – da, to znači bez mreže – i bez flopija. Majkrosoft to priznaje na svom sajtu, ali krije stvarnu informaciju u izvršnom fajlu ili vas zakopava u mnogo informacija. Pljuje po Novell-u, iscrpno izlistava C2 zahteve, samo da bi u sredini pasusa napomenuo da “ovo znači da je procena Windows NT servera vršena kao pojedinačni sistem (..) što je kompletirano, a da je procena mrežnih funkcija (..) još uvek u napretku”.

U redu, da skupimo sve ovo. Mislim da je do sada jasno kako je Windows sigurnost primarno dizajnirana za jednog korisnika, za izolovan operativni sistem. Veoma dugo se Majkrosoft fokusirao na prodaju softvera, što je više moguće i što je pre moguće. Ispravan dizajn i dobro kodiranje su morali da idu na odmor. Umesto ispravljanja tih fundamentalnih problema, Majkrosoft je nastavio da dodaje zakrpe, koje u osnovi ne popravljaju ništa. Tek kad je nekoliko napada umanjilo broj Windows instalacija, Bil Gejts je objavio sigurnost kao najvažniji prioritet.

To je bio januar 2002. godine. I šta je Majkrosoft uradio povodom ovih katastrofa? Da li su se skupili i rešili problem? Ne, oni su širili još više SNS-a, i još SNS-a i još malko SNS-a. Sve do dana današnjeg. A veliki informativni sajtovi su sedeli i srećno lajali zajedno kada je Majkrosoft izdao još jednu dosadnu, SNS-om vođenu, izjavu za novinare umesto da uradi ono što bi trebao da radi i da napravi sam neko ispravno istraživanje.

Ovde smo napravili pun krug. U sledećem, i finalnom delu ove serije, obitavaću u mračnim, zlokobnim pećinama Windowsovih sakrivenih ulaza. Ne verujete da su tamo? Ja bih bio veoma iznenađen da nisu, a i vi ćete.

Autor: Hans Bezemer

Preveo: Nikola Kotur

Originalni članak je ovde.

Дејства на документ

« март 2024 »
март
поутсрчепесуне
123
45678910
11121314151617
18192021222324
25262728293031
lugons projekti

bal2con

Kako postati haker

tor.lugons.png

slackbook.png

gentoo_handbook

machine

BARBOSSA