Вход на сайт
Linux - самая взламываемая система
324 просмотров
Перейти к просмотру всей ветки
в ответ NeverMind 23.02.04 04:13
Хмм .. Забавная ситуация .
Прежде чем рассуждать о вкусе устриц я всё же решил посмотреть подробней этот самый отчёт .. Пошёл на сайтец .. И что же ? А он оказывается денег стоит . 881 фунт стерлингов . От , думаю , прэлесно .. За доказательства убогости убогие оказывается и деньгу платить должны ..
Потому как самый интересный , решающий можно сказать момент в этой истории это критерии подсчёта . Ежели они засчитывали за каждый "взлом линуха" например дефейс сайта Васи Пупкина на виртуальном хостинге , где ещё тысячи таких же , то грош цена такому отчёту . Cуществует множество вариантов , когда присутвуют внешние признаки взлома , вроде того же дефейса , отказа в обслуживании но эскалации привилегий до администраторских не было .. Ну погулял какой-нить скрыпт-киддис в чруте , скомпилил там Hello_word.c , подменил index.htm на c00! hAzk0r w@s there , а дяди в далёкой Англии ставят себе крестик в отчёт .. Ну не глупость ли ?
Я не владею статистикой , но много , действительно много страничек приватных персон хостятся виртуально . Самым простым способом "взломать" подобный сайт была , есть и будет кража пароля .. С рабочего стола , где он пришпилен к монитору , с виндовой машины , где все пароли лежат в exelевской таблице , да откуда угодно .. А если человек с работы им рулит то весь офис во главе со скучающим админом может снифить эти пароли за милую душу (утрирую , но смысл понятен).. Я уж не говорю про социальную инженерию , пароли розданные по пьяни или под воздействием паяльника в жжж.. .
В результате -- на страничке вместо фотографий любимой собачки красуется логотип очередной хацкерской группы , а дяди в Англии ставят галочку но простите меня , причём тут Линукс и его безопастность ?
Хотя глупо было бы утверждать что "клевещут гады от и до" , дыма без огня не бывает . Почему тот же *BSD , что по большому счёту тоже опенсорс , оперирует теми же или подобными по функционалу инструментами безопастности оказался на коне , а линукс под .. конём Ж8)
Действительно , в последнее время весьма понизилась техническая культура юникс-специалистов . Я насмотрелся уже вдоволь на сервера , которые в течении часа настраивали с помощью YaSTа , а сопровождали с помощью WebMinа без малейшего понимания того , что на самом деле настраивается . Графические утилиты "кликни и будет тебе щастье" становятся основным инструментом работы многих .
В ноябре прошлого года был случай , когда попросили поправить брандмауэр на одной машинке на колокейшене в Дюссельдорфе , irc у него был заблокирован .. Я попросил шелл на машину .. Из трубки на меня удивлённо подняли брови и вместо шелла дали доступ к Вэбмину где юзер admin , что в группе wheel (!) имел в качестве пароля имя дочери клиента . Пять букв . Из них уникальных -- три . И ясен пень что на той машине я с места в карьер снял руткит и две тонны всякого барахла , что неизвестный кульхацкер просто хранил на машине .. Флегматичный такой хацкер попался , без деструктивной жилки .
А при чём тут *BSD ? А просто там мышевозильное администрирование применяется на несколько порядков меньше .. Там с системой работают так , как подобает работать с юниксом : консолью , текстовым редактором и мозгами , а не аляповатыми визардами и ублюдочными YaSTaми с LinuxConfами..
И ведь что ещё обидно : на рынке услуг тусуются толпы криворуких пионэров , что обещают за пятьдесят евро в течении дня поднять любому сервер с полным списком сервисов , напечатанных на коробке дистрибутива .. Апач , сквид , нфс , самба , ирц , иксы и ещё десятки нафиг там не нужных финтифлюшек . Зато список длинный , клиент фигеет , а установка в их понимании это галка в YaST . Демпинг -- страшный . Звонишь потенциальному клиенту , рассказываешь что да как а он тебе : извините герр Шлехт , мы нашли другого админа , что взялся настроить нужное нам не за три дня , как вы , а за пять часов . Вот и сидим мы без работы , жрём неделями рис с маслом .
Что-то отвлёкся я , звыняйте , наболело .
Линукс выходит на массовый рынок , а на встречу ему выходит госпожа Некомпетентность -- самая страшная и самая распространённая дыра в безопастности всех времён и народов .
Вот в этом и причина .
[zsh] :: \|/ :: schlecht@6o6pbIHykc:pts/1 [/home/schlecht/] ~$ man woman ;
Прежде чем рассуждать о вкусе устриц я всё же решил посмотреть подробней этот самый отчёт .. Пошёл на сайтец .. И что же ? А он оказывается денег стоит . 881 фунт стерлингов . От , думаю , прэлесно .. За доказательства убогости убогие оказывается и деньгу платить должны ..
Потому как самый интересный , решающий можно сказать момент в этой истории это критерии подсчёта . Ежели они засчитывали за каждый "взлом линуха" например дефейс сайта Васи Пупкина на виртуальном хостинге , где ещё тысячи таких же , то грош цена такому отчёту . Cуществует множество вариантов , когда присутвуют внешние признаки взлома , вроде того же дефейса , отказа в обслуживании но эскалации привилегий до администраторских не было .. Ну погулял какой-нить скрыпт-киддис в чруте , скомпилил там Hello_word.c , подменил index.htm на c00! hAzk0r w@s there , а дяди в далёкой Англии ставят себе крестик в отчёт .. Ну не глупость ли ?
Я не владею статистикой , но много , действительно много страничек приватных персон хостятся виртуально . Самым простым способом "взломать" подобный сайт была , есть и будет кража пароля .. С рабочего стола , где он пришпилен к монитору , с виндовой машины , где все пароли лежат в exelевской таблице , да откуда угодно .. А если человек с работы им рулит то весь офис во главе со скучающим админом может снифить эти пароли за милую душу (утрирую , но смысл понятен).. Я уж не говорю про социальную инженерию , пароли розданные по пьяни или под воздействием паяльника в жжж.. .
В результате -- на страничке вместо фотографий любимой собачки красуется логотип очередной хацкерской группы , а дяди в Англии ставят галочку но простите меня , причём тут Линукс и его безопастность ?
Хотя глупо было бы утверждать что "клевещут гады от и до" , дыма без огня не бывает . Почему тот же *BSD , что по большому счёту тоже опенсорс , оперирует теми же или подобными по функционалу инструментами безопастности оказался на коне , а линукс под .. конём Ж8)
Действительно , в последнее время весьма понизилась техническая культура юникс-специалистов . Я насмотрелся уже вдоволь на сервера , которые в течении часа настраивали с помощью YaSTа , а сопровождали с помощью WebMinа без малейшего понимания того , что на самом деле настраивается . Графические утилиты "кликни и будет тебе щастье" становятся основным инструментом работы многих .
В ноябре прошлого года был случай , когда попросили поправить брандмауэр на одной машинке на колокейшене в Дюссельдорфе , irc у него был заблокирован .. Я попросил шелл на машину .. Из трубки на меня удивлённо подняли брови и вместо шелла дали доступ к Вэбмину где юзер admin , что в группе wheel (!) имел в качестве пароля имя дочери клиента . Пять букв . Из них уникальных -- три . И ясен пень что на той машине я с места в карьер снял руткит и две тонны всякого барахла , что неизвестный кульхацкер просто хранил на машине .. Флегматичный такой хацкер попался , без деструктивной жилки .
А при чём тут *BSD ? А просто там мышевозильное администрирование применяется на несколько порядков меньше .. Там с системой работают так , как подобает работать с юниксом : консолью , текстовым редактором и мозгами , а не аляповатыми визардами и ублюдочными YaSTaми с LinuxConfами..
И ведь что ещё обидно : на рынке услуг тусуются толпы криворуких пионэров , что обещают за пятьдесят евро в течении дня поднять любому сервер с полным списком сервисов , напечатанных на коробке дистрибутива .. Апач , сквид , нфс , самба , ирц , иксы и ещё десятки нафиг там не нужных финтифлюшек . Зато список длинный , клиент фигеет , а установка в их понимании это галка в YaST . Демпинг -- страшный . Звонишь потенциальному клиенту , рассказываешь что да как а он тебе : извините герр Шлехт , мы нашли другого админа , что взялся настроить нужное нам не за три дня , как вы , а за пять часов . Вот и сидим мы без работы , жрём неделями рис с маслом .
Что-то отвлёкся я , звыняйте , наболело .
Линукс выходит на массовый рынок , а на встречу ему выходит госпожа Некомпетентность -- самая страшная и самая распространённая дыра в безопастности всех времён и народов .
Вот в этом и причина .
[zsh] :: \|/ :: schlecht@6o6pbIHykc:pts/1 [/home/schlecht/] ~$ man woman ;
[zsh] :: \|/ :: schlecht@6o6pbIHykc:pts/1 [/home/schlecht/] ~$ man woman ;