34
-
cylontoaster #34 Az NSA (legalább) 4 éve használja ki ezt a biztonsági rést. Tudja a franc, hogy megtalálták vagy eleve belepakoltatták. A nem ismert sérülékenységek felderítése semmiben nem más, mint egy új vadászgép kifejlesztése. Ezzel a sérülékenységgel kis túlzással bárkit megnyekkenthettek, évekig. Innentől sejthető, hogy mennyire éri meg ebbe pénzt ölni.
(Ettől még persze lehet hogy előre belekapoltatták).
A sérülékenységet (igazából többet) a Shadow Brokers nevű hackercsoport bő egy hónapja publikálta, a MS pedig 2 hónapja befoltozta már (tehát publikálás előtt!).
És más hsz-re reagálva: nem kell letölteni ehhez semmit. Ez ugyanis (és ezért tudott most nagyot ütni), nem a hagyományos módon működik. Egy zsaroló jellemzően egy letöltött és megnyitott fájllal megy be, ezért aztán védhető is (elméletben).
Ez a mostani a MS sérülékenységet kihasználva, felhasználói beavatkozást nem igényelve tud(ott) működni. A sérülékenység miatt simán távolról be lehetett juttatni a fájlt. Ezen felül a csúnya a dologban, hogy a sérülékenység meglétén kívül publikus az ezt kihasználó tool is, tehát viszonylag kevés tudással (a toolt fel kell tenni, és a neten meg kell nézni hogy működik) bárki megteheti, hogy a nem frissített gépeket megnyekkenti. A tool egy parancssori next-next-finish kategória.
Linuxra, Mac-re, tűzfalakra, kiskutyára, mindenre van sérülékenység. Jó esetben az ismerté vált sérülékenységet foltozzák, még jobb esetben a felhasználó fel is teszi a frissítést. Persze aki akar, az hihet abban, hogy csak a Wint lehet ilyenekkel megnyekkenteni, mert az szar. -
lammaer #33 A VW-s példád azért sántít, mert ott konkrétan környezetvédelmi szabályok vannak amit be kell tartani és a VW azokat játszotta ki széndékosan.
Az operációs rendszereknél nincsenek ilyen szabályok - és ha lenne is, valószinüleg az se lenne elegendő minden betörés ellen - és konkrétan arra a területre ahol most a windowst piszkálod még az autóiparban sincsenek követelmények. Ugyanis ha a tulaj nyitvahagyja az ajtót járó motorral, akkor a kocsiját el fogják vinni és nincs az a gyártó ahol azt be lehetne hajtani.
A kész szoftverre adott definiciód pedig alapjaiban hibás. Ugyanis amit te mondasz az csak a secuurity teszt, de ugyan miért is van operációs rendszerünk? Azért hogy ne tudjanak betörni hozzánk? Egy fenét, azért mert excelt, wordot, böngészőt, játékot akarunk rajta használni. Azaz amire te kihegyezted a definiciódat az egy másoflagos (harmadlagos) kérdés felhasználói szemszögből. Adj el egy olyan oprendszert amit úgy hirdetsz hogy ez 99%-ban megvéd minden hackertől, közbe meg nincs rajta alkalmazás...
Meg gondolj egy kicsit bele, mégis hogyan bizonyítaná a Windows biztonságosságát az a módszer amit te kitaláltál... nevezetesen hogy NEM jelentkezik senki hogy sikerült betörnie... ez egy olyan teszt aminek ZÉRÓ a bizonyító ereje. Azt se tudod megpróbált e valaki betörni, atzt se tudod HÁNYAN próbálták, és még az se biztos hogyha nem jelentkezik valaki az azt jelenti hogy nem is tudott betörni - mivan ha a te fehérkalapos hackereid egyszerüen nem mondják meg arést, mert már ott lóg a szekrényben a fekete kalap és alig várja hogy kikerüljön élesbe a rendszer, mert ő már feltérképezte hogy kell zasrólóvirust írni rá... egyáltalán mennyi ideig álljon a teszkörnyezetben a rendszer arra várva hogyvki betörjön? 1 év? 2 év? 5 év? És addig ne fejlődön a rendszer?
Látod milyen könnyű kritizálni és romba dönteni a szép álmodat arról milyen a kész szoftver... megmondom neked, beugratós kérdésre próbáltál válaszolni. KÉSZ szoftver ugyanis nincs, ahogy tökéletes sincs. Amelyik szoftver az 1.0-nál nem lép tovább az nem azt jelenti hogy az kész és tökéletes, hanem azt hogy a készítője nem foglalkozik vele és sokkal sebezhetőbb mint egy állandóan "toldozott-foldozott" rendszer.
Amúgy igenis van security tesztelés, az MSnél is. A különbség az hogy 1: ezt jóval kevesebb ember csinálja 2: jóval kevesebb ideig mint amennyi ember és idő áll rendelkezésre a vadonban hogy találjanak egy lyukat.
Utoljára szerkesztette: lammaer, 2017.05.16. 09:03:21 -
Elemir #32 Ezt tényleg komolyan gondolod?
Ma a legelterjedtebb dolog a google androidra ami egy full nyitott rendszer, aminek a saját hálózatában sok 10 ezer vírusos alkalmazás volt és van is.
A PC-k tekintetében a Windows pont ugyan ez, hisz vezető rendszer.
A VW direkt csalását meg ne hasonlítsuk már egy olyan informatikai dologra, ami nincs. Nincs feltörhetetlen rendszer - a hétköznapokat nézve - tehát ne zavaríts már meg. A te logikát szerint, ha mindenkit megpróbálok ütni, és valakit sikerül akkor fizessen a rendőrnek, mert megütötték.
Ugyan már... -
kisiku #31 Ez egy nagyon okos gondolatmenet!
Én sajnos - felhasználói hibából és nemtörődömségből - megtapasztaltam már, milyen az, amikor szétb*sz a ransomware mindent. Egyébként zseniális találmány, kár hogy nem mi találtuk ki :)
De viccet félretéve, mint rendszergazda, nekem sok fejfájást okoz, meg okozott az ilyen (meg fog is még), mert akik írják, pontosan tudják, hogy az egyetlen védelem ellenük a netezés betiltása vagy pl csatolmányos mail-ek visszautasítása, tiltása,stb.Ez pedig egy vállalat mindennapi életét megkeseríti.
Egyébként, ha már összeesküvés-elméleteket is nézünk, kinek az érdeke, hogy minél több pénzt áldozzunk informatikára,biztonsági cuccokra?Úgymond "gyógyszerre"? Ugyanezt fel lehet tenni egy gyógyszergyárnak is...
Csak addig jár a korsó a kútra, míg eltörik. Mi van ha egyszer egy ilyen "poéntól" több százan meghalnak?Lásd Deutsche Bahn most, a mozdonyaikban is windows fut.Oké, biztos el van szigetelve, de mi van ha pl 180-nál fagy le a rendszer és van 600 utas?
Ma már nem lehetne visszatérni a jó öreg fax/füzet/stb-hez, mert minden online.S nem is lenne baj ezzel, de megértem azokat is, akik a nagyvállalatok megalomániája ellen vannak.De mindig a kicsik szívják meg, azaz mi, hétköznapi emberek. -
nlght #30 Késznek mondanám, ha MS azt mondja hogy végeztem, majd nyíltan meghirdeti csillió fehérkalapos hackernek, hogy ezt kúrjátok meg komoly sikerdíj fejében (a jelenlegi szaros 10-20k $ kifizetéseket min. megtizszerezném alapból, hogy ne legyen a feketepiacnak vonzereje). Ezután 1-3 évig javítgatja a hibákat, amiket találtak, de ha mondjuk x hónapig már senki sem talált benne hibát, akkor mehet kereskedelmi forgalomba Windows 10 néven. Addig nem engedtem volna, hogy beszéljen a win7 kivezetéséről.
Ezt hívnám késznek, persze ezután is vállalna rá garit az MS. Mindezt rákényszeríteném mert monopol helyzetben van. Óriási impactje van a 21. századi életre, nem is értem hogy az EU-s politikusok miért nem ugrottak rá jobban eddig erre, kell még egy-két k*rva nagy botrány úgy látszik...
Csak úgy szélsőges példaként, ha a volkswagen 13 milliárd eurót kell hogy fizessen büntiként, mert tisztességtelenül kummantott a zöld teszten, akkor az MS-nek a 10-szeresét kellene befizetnie minimum, annyi szopást idézett már elő a világban, mert félkész termékeket adott ki. Sajnos minden politikus szemethuny az érinthetetlenségén, mert a vevőnek egy önszopató EULA-t kell elfogadnia, miközben monopol helyzetben van az üzleti életben az árus. Hol van itt az igazság vagy bármi balance miközben minden más terméknél nem ez a felelősségvállalás? -
lammaer #29 @Night: Definiáld egy szoftverben a kész fogalmát... :)
@zola: szorítkozzunk arra amit biztosan tudunk.Volt egy biztonsági rés, amire az MS a jelenlegi támadást 2 hónappal megelőzően kiadott egy biztonsági frissitést, ami mindenolyan gépre felkerült ahol a user/admin nem tiltota le a frissítéseket. Innentől kezdve én nem az MS-t találom főbűnösnek...
Hogy az NSA a gyikemberektől tudta meg ezt, vagy vannak saját emberei akik esetleg éppen okosabbak/szerencsésebbek voltak mint az MS mérnökei, vagy esetleg maga az MS segített nekik a terroristák elleni háború cimén... azt se te, se én nem fogjuk tudni, de sztem itt most nbem is releváns.
Továbbra is azt mondom, az a bűnös aki kihasználta ezt a rést, az pedig az a féreg "hacker". Remélem a lélegeztetőgépe szotfverében is lesz majd egy biztonsági rés...
Utoljára szerkesztette: lammaer, 2017.05.15. 17:00:10 -
#28
Aztán lehet ha elterjed széles körben a Linux akkor azt veszik célba a támadók.
Szerintem nem véletlen hogy mindig azok a rendszerek lesznek virusosak, amit sokan használnak
Aztán fene se tudja, a szervereken is Linux fut, mégsem írnak rá vírusokat pedig azokat már érdemes lenne támadni. -
#27
Elvileg nem random biztonsági rést használtak ki a támadók hanem nsa által kihasználtat. Oké hogy nincs tökéletes szoftver, de ha esetleg nem az nsa véletlenül jött rá hanem az msel együttműkve, akkor konkrétan szándékosság volt. -
nlght #26 "A windows egy kereskedelmi szoftver, ami elég jó arra a célra amire készült. A hibák nagyrésze igy is emberi mulasztás következménye"
Ez a lényeg. CSAK az a probléma, hogy a Microsoft az oprendszer piacon kvázi monopol helyzetben van. Ezért más szabályoknak kéne vonatkoznia rá. Nem kéne hagyni, hogy kaidjon egy félkész windows10-et és a régi termékei kivezetésével, és trükkös hardver támogatással RÁKÉNYSZERÍTSE az embereket, hogy váltsanak a korábbi (mondjuk sajnálatos módon még sok év után is szintén hiányos/hibás) korábbi oprendszerről egészen ADDIG AMÍG szarrá nem lett tesztelve 1000 fehérkalapos hackerrel... Ezen kéne rágódnia az EU-nak, vagy valami világszervezetnek aki bele tudna rúgni az MS-be... -
lammaer #25 És csak hogy el se hozd a "használjunk linukxort" kártyát...
https://www.theguardian.com/technology/2016/oct/21/dirty-cow-linux-vulnerability-found-after-nine-years -
lammaer #24 "Vitatkoznék azzal, hogy nem lehet hibátlan szoftvert írni.
De lehet.
Csak megfontoltan kell haladni, és minden lépést messzemenőkig tesztelni. Általában nem így iródnak a szoftverek, hanem rögtön egy rakat funkció kerül beléjük, amik minimálisan vannak letesztelve. Persze, hogy tele vannak hibával."
Tudsz mondani olyan szoftvereket amik igy készülnek?
Elég sok helyen dolgoztam, bankszfértól kezdve az online kereskedelmen keresztül az orvisi szoftverekig, és bizony mindenhol voltak határidők, sehol sem volt végtelen mennyiségű programozó, tesztelő és idő... de továbbmegyek: mindenhol emberek dolgoznak, akik nem tökéletesek és van hogy még akkor is átcsúszik egy hiba ha netán sem a határidő sem az erőforrások mennyisége nem szorít.
A windows egy kereskedelmi szoftver, ami elég jó arra a célra amire készült. A hibák nagyrésze igy is emberi mulasztás következménye... és valljuk be, az MS előre kiadta a javítást, tehát ha vki benyeli a vírust az megint emberi mulasztás.... -
lammaer #23 Hát, nyilván minden analógiában lehet hibát találni, de hogy továbbgörgessem a te példádal:
Te mint házgyártó szállítod a házat, egy műanyag nyilászáróval (bauhausban lehet kapni, 80-150K, a legtöbb házon ilyen van :) ) ami alapvetően véd a legtöbb egyszeri betörő ellen.
De jön egy betörő akinek van egy nagyteljesitményű hordozható vihargyújtója, amivel simán olvaszt egy akkora lyukat a te műanyag bejárati ajtódon, amin keresztül szépen benyul és a zárban belülről hagyott kulcs segítségével szépen be is jut.
(azért jutot eszembe ez a példa, mert ez tényleg egy betörési módszer, ami működik szinte az összes modern, 8-10-14-xxx ponton záródó bejárati műanyag ajtónál).
Namost, ha hozzád igy betörnek, tudod mit fog mondani az ajtógyártó? Azt hogy ez van, az ajtó a legtöbb módszer ellen véd, ezellen éppen nem. De hogyha szeretnél, van 500K-ért millióért fémbetétes műanyag bejárati ajtó, sziesen adnak neked egyet.
Na a windows is ilyen. Kereskedelmi termék, amin vannak biztonsági mechanizmusok (tűzfal, viruskergető, miegymás) amelyek az átlagos ISMERT módszerek ellen védenek.
A példám ott sántit, hogy a gyártónak van mégbiztonságosabb ajtaja, mert ő tudja hogy az amit neked elad olyan amilyen. A Windows esetében erről szó sincs, nyilvánvalóan nem szándékosan van egy BAKI a redszerben amit a szemfüles betörő ki tudott használni...
Utoljára szerkesztette: lammaer, 2017.05.15. 16:42:38 -
tom_pika #22 Az a baj, hogy a "ha egybe be tudnak törni akkor az összesbe" állítás már most is igaz, csak ráadásul most a bonyolult és átláthatatlan rendszerben több és könnyebben kihasználható a rés, ami ahogy mondod ha egyben ott van, akkor bizony ott van mindegyikben.
Mert az már most sem igaz, hogy minden egyes Windowsba máshogy kell betörni, mert máshogy épül fel. -
Archenemy #21 Egyébként ez baj is lehet (bár jó a magyarázat): ha minden ház ugyanúgy van védve, akkor onnantól hogy egybe be tudtak törni, az összesbe be tudnak. -
tom_pika #20 Kérlek szépen:
Ha a házakat szeretnénk a betörőkkel szemben biztonságosabbá tenni, akkor ugye minden egyes házban egyesével kellene magas kerítést, villanypásztort, kamerarendszert, riasztót stb. telepíteni.
A windows viszont egyetlen egy termék, azt kellene biztonságosabbá tenni és utána másolni minden gépre.
Úgy fogalémazhatnék házas analógiával: adott EGY ház, és szakemberek gárdájának az a feladata, hogy azt az EGY házat betörésbiztossá tegyék hosszú évek munkájával. Aztán az eredmény immáron másolható minden lakóházra. Ugye ha így lehetne betörésbiztossá tenni a házakat akkor nehezebb dolguk lenne a betörőknek?
A baj az, hogy a mai rendszerek tele vannak mindenféle csilli-villi szolgáltatásokkal, amiket sokan egyáltalán nem használnak, és közben meg olyan bonyolult az egész, hogy kutya se látja át, hol maradt benne hiba.
Vitatkoznék azzal, hogy nem lehet hibátlan szoftvert írni.
De lehet.
Csak megfontoltan kell haladni, és minden lépést messzemenőkig tesztelni. Általában nem így iródnak a szoftverek, hanem rögtön egy rakat funkció kerül beléjük, amik minimálisan vannak letesztelve. Persze, hogy tele vannak hibával.
Ha valaki fontolva halad és sokat tesztel, akkor viszont senki nem vesz tőle terméket, mert drága lesz és keveset tud az a termék. Hogy biztonságos és hibamentes? Az élet megmutatta, hogy ez igazából senkit nem érdekel. -
ostoros #19 Ijesztgetés, hogy frissítsenek az emberek. -
lammaer #18 Isten tudja, nem vagyok biztonsági szakértő, de úgy rémlik hogy ez a történet továbblépett már a fájlvírusok szintjénél... -
lammaer #17 Gyerünk, hajrá, kiváncsi vagyok... -
lammaer #16 Cseszheted a linuxodat, ubuntudat meg az almás oprendszeredet, ha szoftverek amiket használni akarok, vagy a játékok amik engem érdekelnek nincsenek rajta...
Egy számítógépet az alkalmazásokért tartok, nem az oprendszerért, ezt ne tessék elfelejteni. -
tom_pika #15 A betörő a házban távolról sem ugyanaz az eset, mint a hekker a windowsban. Hogy ha nem világos, hogy miért teljesen hibás az analógiád, szívesen elmagyarázom. -
lammaer #14 Ügyes vagy!
Akkor most a programod segitségével böngészgesd a világhálót... -
kékherceg #13 Kicsit túl lett lihegve ez az ügy. Ha nem frissítesz, akkor se lesz bajod, csak ne tölts le olyan fájlokat, amiket Zambia hercege küld, vagy egy orosz péniszhosszabítót forgalmazó cég. De ezt amúgy sem kellene csinálni. -
izotop #12 Beviszed valamelyik "servicébe" a laptopod vagy asztali géped 10 ezerért Win10 home,
15 ezerért Win 10 prof-ot fél óra alatt aktiválva feltolják.
Böngészőkkel ,tömörítővel mit tom én mikkel komplett :-) amit kérsz.
Miről beszélünk Hölgyeim és uraim ???? :-)
Utoljára szerkesztette: izotop, 2017.05.15. 13:24:52 -
izotop #11 Kénytelen vagyok azt mondani hogy ott a Linux, Ubuntu , a Mint és még a Apple iMac 21.5 MK142 Számítógép konfiguráció.
A Windowst meg kedvükre töltik le torrent oldalakról ingyen, talán ez is egy biztonsági rés!
Mint a képmentésen is látható:
http://kepkezelo.com/images/rk35b4q336p1flyr7845.png -
kjhun #10 Hát, gondok vannak 2 szolgáltatónál, lehet a zsarolóvírus a ludas??
http://hvg.hu/tudomany/20170515_telekom_hiba_telefonalas
http://hvg.hu/tudomany/20170515_vodafone_halozatihiba_telefonalas
http://hvg.hu/tudomany/20170515_wannacry_zsarolovirus_telenor
Kínában, sem jobb a helyzet:
http://hvg.hu/tudomany/20170515_wannacry_zsarolovirus_kina_azsia_tamadasok -
nlght #9 Ezzel tisztában vagyok, de a jelenlegi szoftver mocsár amiben élünk csak és kizárólag a szoftver kiadóinak kedvez. Ráadásul ezek a windowsok többe kerülnek, mint sok országban a havi átlagfizu. Ordít a helyzet a változtatásért. A jelenlegi helyzet is csak azért van mert a 20-30 éve még kibulizták maguknak ezeket a különleges jogokat az EULA-ban, azóta mindenki hozzá van szokva, hogy a szoftverkiadók érinthetetlenek. -
yamato41 #8 De van!
Már meg is írtam C64 BASIC-ben, voila:
10 Goto20
20 Goto10
Garantáltan működik hiba nélkül, amíg világ a világ. -
lammaer #7 Tesó, azért mert tökéletes szoftver nem volt, nincs és nem is lesz.
Egyszerűen képtelenség olyan programot csinálni ami hibátlan, letesztelni, mindent kipróbálni szintén esélytelen. Hibák menet közben derülnek ki, úgyaúgymenet közben derülnek ki hogy milyen lehetőségek vannak azoptimalizálásra, halott kódrészletek eltávolítására, a hardver fejlődést követő változtatások behozására stb stb.
Fényesre csiszolt szoftver egyszerűen NEM létezik, szóval ha ilyenre vágysz akkor várhatsz életed végéig.
Ne úgy képzeld amúgy a windowsokat hogy kész volt a Win7, aztán fogták és nyitottak egy új repositorit és nulláról elkezdték neked írno a Win8-at, mert akkor nem 3-5 év lenne egy új verzió hanem vagy 10...hétszentség hogy még windows NT-s kódok is vannak a Win10ben is :)
Utoljára szerkesztette: lammaer, 2017.05.15. 12:24:32 -
nlght #6 Amíg ha veszel egy hibás terméket és közben kár ér téged a hibás termék használata közben, akkor perelhetsz, és addig gariba visszaküldheted a terméket hogy cseréljék.
Microsoft és társai kivédik ezt, pedig az lenne a norma, hogy adjanak ki egy fényesre csiszolt terméket és ne próbálják erővel rávenni az embereket a használatára, amíg nincs kész.
Mi a rákért kell kiadni valamit amikor 5 év múlva is még csak toldozzák-foldozzák. Windows Vista óta 3 évente kiadnak egy félkész hulladékot, és mindegyiket csak toldozzák-foltozzák, a felelősséget meg hárítják. Jól meg kéne b*asznia őket az EU-nak. -
izotop #5 Ahol tudják ott ütik vágják a microsoftot ......közben a cégeknél nincs komoly védelem de még a biztonságos jelszó használatot sem követelik meg a dolgozóknak.
-
lammaer #4 Ezeker a hackerekre kéne dróntámadást indítani, hogy rohadna le a kezük meg a nemi szervük...
És nem, ne is jöjjön senki nekem azzal hogy "de miért vannak biztonsági rések" egy oprendszeren meghiogy "ez a microsoft hibája".
Mert ezzel az erővel a betörőket is fel lehet menteni, hogyhát kérem ha be tudott törni akkor az az áldozat hibája, miért nem lakik páncélszekrényben. -
izotop #3 Ez a legjobb amit a hvg ajánlott!
Óvatosan megnyomod a bekapcsoló gombot és elhagyod pánikszerűen a szobát óvatosságból nehogy valami baj érjen! :-)
"Retteghetünk a mai naptól: óvatosan kapcsolja be a gépét, amikor beér a munkahelyére - A munkahét indulása miatt sokaknak nem kedvenc napja a hétfő."
http://kepkezelo.com/images/w5pofeq1ivwr9g9444r9.png -
HuMarci #2 És a sandboxie-t pedig senki nem ismeri... Pedig jobb bármelyik virusírtónál:
www.sandboxie.com
Ha ez sem segít akkor change user... -
tom_pika #1 kreátorsz ápdét helyett nem kaphatnánk egyszer egy biztonságos windózt?