Nowe posty

Autor Wątek: Ryzyko  (Przeczytany 19074 razy)

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 5
    • Zobacz profil
Ryzyko
« dnia: 2010-10-04, 11:35:16 »
Jakie jest ryzyko, że z Linuksową płytką od nieznajomego dostanę program do zdalnego sterowania moim komputerem albo do kradzieży haseł itp? Jakie jest ryzyko że sam ściągając Linuxa trafię nie na oficjalną wersję ale na wersję z niechcianym dodatkiem, który wyczyści mi konto w banku? Ja się tego obawiam, dlatego nie będę instalował Linuxa na komputerze, z którego będę się logował do banku. Uważam, że ryzyko jest duże. A wy?
Witam wszystkich na forum, nowy, Bartek.

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
Ryzyko
« Odpowiedź #1 dnia: 2010-10-04, 12:28:42 »
Ryzyko, owszem może istnieć ale jest to mało prawdopodobne, szczególnie jeśli pobierasz z oficjalnych źródeł. Dlaczego mało prawdopodobne, bo rzadko się zdarza, że system lub program z oficjalnych źródeł zawiera złośliwe dodatki, a jedyne ryzyko ich istnienia, to jeśli ktoś włamie się na serwer i podmieni oryginały.

Co do płytki od kolegi, to łatwo sprawdzić czy zawiera jakieś niechciane dodatki (zresztą tak samo można sprawdzić i Windowsa). Wchodzisz na oficjalny serwer, wyszukujesz czegoś takiego co nazywa się suma kontrolna, na przykład md5 i porównujesz ją z zawartością płyty. Jeśli sumy kontrolne się zgadzają to znaczy, że nie ma w niej dodatków.

Sam system po zainstalowanu możesz sprawdzić dodatkowo programami typu rkhunter do wyszukiwania rootkitów w systemie Linux.

Pozdrawiam!

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 5
    • Zobacz profil
Ryzyko
« Odpowiedź #2 dnia: 2010-10-04, 12:33:33 »
Dzięki za odpowiedź. Jeszcze tylko pytanie, czy można znaleźć w internecie strony, które udają oficjalne źródła?

Offline arctgx

  • Users
  • Guru
  • *****
  • Wiadomości: 2753
    • Zobacz profil
Ryzyko
« Odpowiedź #3 dnia: 2010-10-04, 14:33:30 »
Nie potrafię teraz porządnie wytłumaczyć Ci o cyfrowym podpisywaniu pakietów, ale to temat, którym mógłbyś się zainteresować. Prawdopodobnie rzecz polega w dużym uproszczeniu na tym, że (pośrednio) na podstawie klucza otrzymanego podczas instalacji lub pobranego przed dodaniem repozytorium możesz porównać sumę kontrolną pobieranej paczki z sumą zadeklarowaną bodajże w pliku z informacją o paczkach.

Przykładowe informacje dla Debiana: http://wiki.debian.org/SecureApt

Bez konkretnych adresów stron z falsyfikatami: http://www.heise-online.pl/security/features/Zlowrogie-paczki-813573.html
Użytkownik: Ib5sXfcCkvYR
Hasło: adam

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 5
    • Zobacz profil
Ryzyko
« Odpowiedź #4 dnia: 2010-10-04, 15:31:08 »
Niewiele zrozumiałem, ale dziękuję za odpowiedź. Dużo mi zajmie, zanim się nauczę sprawdzać te ilości plików w paczce. Ale logicznie to się zgadza - daliście mi rozwiązanie, wierzę że skuteczne.
Zastanawiam się nad jakąś płatną wersją Linuxa. Dlaczego? Uważam, że wydawca takiego oprogramowania, któremu płacę oficjalnie, jest odpowiedzialny za to żeby na płytce którą sprzedaje nie było żadnego syfu. Jak się okaże że coś jest nie tak, to mam się do kogo zgłosić z reklamacją. Natomiast w przypadku darmowej dystrybucji kogo mogę pociągnąć do odpowiedzialności? Właściciela serwera którego danych nie znam, albo kogoś z forum z kim umówiłem się na odbiór płytki?
Jak traktować ostrzeżenia specjalistów, którzy odradzają ściągania czegokolwiek? Nie rozumiem tych, którzy mówią że Linux jest bezpieczny a jednocześnie pozyskują go jedną z najbardziej niebezpiecznych metod - poprzez pobieranie plików z internetu.Może jeszcze na Windowsie ściągnę dobrego Linuxa, legalnego i bez dodatków ale w trybie ukrytym mój komputer łyknie jakieś złośliwe oprogramowanie, które zadziała jeszcze zanim zainstaluję Linuxa? Mam wiele wątpliwości co do darmowych dystrybucji, co innego jeśli już od producenta dostaję laptopa z zainstalowanym Linuxem. Wydaje mi się że tam taki system na pewno jest sprawdzony.

Offline kenpo

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 199
    • Zobacz profil
Ryzyko
« Odpowiedź #5 dnia: 2010-10-04, 15:34:37 »
Jeśli ważne jest dla ciebie bezpieczeństwo to nie instaluj programów z poza repozytoriów, z jakichś podejrzanych stron.
Znalazłem informację o malware na linux:
http://www.zdnet.com.au/carelessness-busts-linux-security-339299939.htm
Więc trzeba uważać, chociaż nie wiem co w takiej sytuacji samo uważanie może dać. Najlepiej ograniczyć się do repozytoriów.

Jeszcze się trochę rozpiszę. Mam nadzieję, że autora też zainteresuje ta dyskusja.
Ja jako nowy użytkownik linuksa nie rozumiem do końca dlaczego ten system uważany jest za taki bezpieczny. Może to jest prawdą w przypadku serwerów, ale nie w przypadku desktopów chyba nie bardzo. Sprawa uprawnień i iptables wszystkiego nie załatwiają. Jak już się ściągnie coś z sieci lub wejdzie na jakąś zainfekowaną stroną to kiszka.
Jeszcze niektórzy wypisują, że antywirus jest niepotrzebny. To jakiś nonsens. Przecież jak ktoś zrobi trojana czy spyware czy keyloggera to się tym nie będzie chwalił tylko zaatakuje. A użytkownicy linuksa mogą co najwyżej się zdziwić jak przeczytają o tym w wiadomościach.
Jeśli się mylę to niech ktoś mnie poprawi.
Najbardziej mnie wkurza, że nie ma w chociażby tych najbardziej popularnych dystrybucjach dla początkujących firewalla, który by mógł blokować programy i procesy chcące się łączyć z internetem. Jedyne co znalazłem to tuxguardian.
Sprawdzałem też Apparmor. Ale dla początkujących jego obsługa to masakra.

Przy okazji tego tematu się zapytam czy ktoś zna antywirusa na linuksa, który by zapewniał ochronę podczas przeglądania internetu? Bo mam zainstalowany klamav i avast, ale nie mają takich opcji.

Cytat: bartekkazek
Może jeszcze na Windowsie ściągnę dobrego Linuxa, legalnego i bez dodatków ale w trybie ukrytym mój komputer łyknie jakieś złośliwe oprogramowanie, które zadziała jeszcze zanim zainstaluję Linuxa? Mam wiele wątpliwości co do darmowych dystrybucji, co innego jeśli już od producenta dostaję laptopa z zainstalowanym Linuxem. Wydaje mi się że tam taki system na pewno jest sprawdzony.
Ej, nie przesadzajmy. Iso najbardziej popularnych dystrybucji pobrane z oficjalnych stron są bezpieczne. Adresy tych stron są np. na distrowatch.com. Z drugiej strony nie możesz mieć pewności, że producent jakieś płatnej dystrybucji nie będzie miał ochoty cię szpiegować lub zbierać w jakiś ukryty sposób danych chociażby do celów marketingowych. Może to nierealne zagrożenie, ale ostatnio dane to chodliwy towar.
Zresztą największe niebezpieczeństwa dotyczą korzystania z internetu.
Ciekawy temat:
http://www.dobreprogramy.pl/Prawie-nieusuwalne-ciasteczka,Aktualnosc,20517.html

Offline Lord Darius

  • Administrator
  • Guru
  • *****
  • Wiadomości: 1258
    • Zobacz profil
Ryzyko
« Odpowiedź #6 dnia: 2010-10-04, 16:04:55 »
Cytat: bartekkazek
...dlatego nie będę instalował Linuxa na komputerze, z którego będę się logował do banku. Uważam, że ryzyko jest duże.
Am... nie masz karty kodów?
Spójrz bez strachu na rzecz budzącą strach, a straszność sama zniknie.
cat /etc/debian_version

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 5
    • Zobacz profil
Ryzyko
« Odpowiedź #7 dnia: 2010-10-04, 16:18:49 »
Wiem, są zabezpieczenia bankowe, karty kodów (nie mam), kody na sms (mam) ale kradzieże z kont internetowych i tak się zdarzają. Cały temat założyłem dlatego, że zamówiłem Linuxa z allegro i zastanawiam się czy to jest bezpieczne, bo właściwie nie wiem co jest na płytach, które dostałem. Jestem współwłaścicielem konta bankowego i jedno z nas nie ma wątpliwości co do bezpieczeństwa, jednak ja boję się zainstalować systemu operacyjnego wypalonego na zwykłych płytkach dvd z kiosku, na którym miałbym przeprowadzać operacje bankowe.

Offline Lord Darius

  • Administrator
  • Guru
  • *****
  • Wiadomości: 1258
    • Zobacz profil
Ryzyko
« Odpowiedź #8 dnia: 2010-10-04, 16:21:59 »
Cytat: kenpo
Jak już się ściągnie coś z sieci lub wejdzie na jakąś zainfekowaną stroną to kiszka.
Ja bym nie uogólniał, choćby z tytułu ograniczonego działania wirusa w wielu przypadkach i pod Linuksem.
A co do stron to już dawno temu osobiście i świadomie, dla testu wchodziłem na znane mi strony "zasyfione" - cisza, spokój i żadnego zassania i żadnych skutków ubocznych.
Natomiast testowany jednocześnie i wtedy Windows łapał syfa na potęgę.

Generalnie jednak złapanie czegoś to nie tyle kwestia systemu co jego użytkownika.
Spójrz bez strachu na rzecz budzącą strach, a straszność sama zniknie.
cat /etc/debian_version

Offline Lord Darius

  • Administrator
  • Guru
  • *****
  • Wiadomości: 1258
    • Zobacz profil
Ryzyko
« Odpowiedź #9 dnia: 2010-10-04, 16:29:31 »
Cytat: bartekkazek
Wiem, są zabezpieczenia bankowe, karty kodów (nie mam), kody na sms (mam) ale kradzieże z kont internetowych i tak się zdarzają.
Dziś to chyba tylko na własne życzenie, świadomie omijając ( choć za bardzo nie wiem jak ) zabezpieczenia w/w bankowe.
Chyba, że sms-a którego dostajesz od banku - wysyłasz do wszystkich znajomych lub publikujesz na swoim blogu ;)

Operacje wykonywane na kontach bankowych online są silnie zabezpieczone + dodatki jak choćby Twój sms, więc nie wydaje mi się aby popadać w paranoję.
Jednak jak masz nie spać po nocach to zassaj sobie z oficjalnych źródeł jakieś distro, choć jak widzę i do tego masz wątpliwości ( Twoja kwestia ew. zażalenia ).
hmm.. Spróbuj pociągnąć do odpowiedzialności np Microsoft - powodzenia życzę.
Spójrz bez strachu na rzecz budzącą strach, a straszność sama zniknie.
cat /etc/debian_version

Offline Kamil Leduchowski

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 152
    • Zobacz profil
Ryzyko
« Odpowiedź #10 dnia: 2010-10-04, 17:17:49 »
Skoro mówimy o ochronie, bezpieczeństwie i odpowiedzialności to przykładowy kwiatek ze strony na której spisano licencję do MS Security Essentials:
Cytuj
14. OGRANICZENIE ORAZ WYŁĄCZENIE UPRAWNIEŃ ORAZ ODSZKODOWAŃ. MICROSOFT I DOSTAWCY MICROSOFT PONOSZĄ ODPOWIEDZIALNOŚĆ WYŁĄCZNIE ZA SZKODY BEZPOŚREDNIE DO KWOTY 5,00 USD. Licencjobiorca nie może dochodzić roszczeń z tytułu żadnych innych szkód, w tym szkód wynikających z utraty zysków, szkód wtórnych, szkód szczególnych, szkód pośrednich ani szkód ubocznych.
Wybrałem akurat tą licencję bo szczególnie spodobała mi się ze względu na tematykę oprogramowania. Nie jestem wrogiem MS czy Windows, ale warto sobie uświadomić, że ten "problem" dotyczy nie tylko "systemu operacyjnego wypalonego na zwykłych płytkach dvd z kiosku". Żaden (przynajmniej mi znany) twórca oprogramowania nie ponosi odpowiedzialności za szkody, które wynikają podczas jego użytkowania - jeden pozew sądowy przez poszkodowanego doprowadziłby twórcę czy dostawcę do bankructwa. Jeżeli nie czujesz się bezpieczny to:
a) nie zakładaj konta z dostępem za pośrednictwem internetu
b) wyciągnij wtyczkę z karty sieciowej
c) schowaj się w szafie

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 5
    • Zobacz profil
Ryzyko
« Odpowiedź #11 dnia: 2010-10-04, 17:48:42 »
Rozumiem, to tak jak z bezpieczeństwem w mieszkaniu. Żadne antywłamaniowe drzwi nie uchronią mnie przed poważnym włamaniem, tak jak i żaden system nie jest  bezpieczny. Skoro są złodzieje to ktoś musi być ich ofiarą, pozostaje jedynie pocieszać się statystyką i mówić, że może na mnie nie trafi. Albo schować się w szafie.
Podsumujmy:
- zabezpieczenia bankowe są tak zaawansowane że trudno coś z konta
 internetowego ukraść
- jest sposób na sprawdzenie czy paczka z Linuxem nie zawiera niechcianych plików
- Linux nie ściąga wirusów ze stron internetowych
- dla bezpieczeństwa należy pobierać Linuxa z oficjalnych serwerów i sprawdzać jego zawartość

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2052
    • Zobacz profil
Ryzyko
« Odpowiedź #12 dnia: 2010-10-04, 18:15:37 »
Dodatkowym zabiegiem zabezpieczającym może być montowanie partycji w katalogu domowym z opcjami: nodev, nosuid, noexec, ewentualinie w trybie tylko do odczytu itp.

Pozdrawiam!

Offline Lord Darius

  • Administrator
  • Guru
  • *****
  • Wiadomości: 1258
    • Zobacz profil
Ryzyko
« Odpowiedź #13 dnia: 2010-10-04, 18:17:49 »
Cyt:- Linux nie ściąga wirusów ze stron internetowych koniec cyt ;)

Nawet gdyby, to kwestia instalacji "czegokolwiek" jest uzależniona od Ciebie ( podanie hasła root i decyzja o instalacji.

Reszta "na chłopski rozum" się zgadza ;)
Spójrz bez strachu na rzecz budzącą strach, a straszność sama zniknie.
cat /etc/debian_version

Offline kenpo

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 199
    • Zobacz profil
Ryzyko
« Odpowiedź #14 dnia: 2010-10-04, 18:43:06 »
Cytat: Lord Darius
Nawet gdyby, to kwestia instalacji "czegokolwiek" jest uzależniona od Ciebie ( podanie hasła root i decyzja o instalacji.
No tak, tylko skąd można wiedzieć, że jakiś screensaver na stronie Gnome ma kod malware? Wiem, wiem, nie instalować.

W sumie dochodzę do wniosku, że wszystko zależy od szczęścia.
Na windę jest więcej zagrożeń, ale też więcej profesjonalnych zabezpieczeń. Na ile są naprawdę skuteczne, a na ile to marketing to inna sprawa. Na linuksa jest mniej zagrożeń i ale i mniej zabezpieczeń. Te które są np. Apparmor czy Selinux mogą początkującego użytkownika przyprawić o ból głowy. A na windzie wystarczy wyklikać.
Z drugiej strony za pewno nie jest jednak tak, że możesz sobie kupić na windę jakiegoś antywirusa, nawet wersję pro i się już zrelaksować.
Główne zagrożenia to działania użytkownika i bezpieczeństwo samych systemów (dziur w systemach) i przeglądarek, czyli czynniki na które użytkownik nie ma wpływu.
Jakiego systemu byś nie używał musisz być w tych sprawach na bieżąco, myśleć nad tym co robisz, nie szwendać się po podejrzanych stronach, korzystać z dostępnych środków zapobiegawczych. Jednak nawet znane strony są atakowane np. youtube, czy ten malware w screensaver na stronie Gnome. Więc nie znasz dnia ani godziny.

A może koledzy się podzielą wiedzą o innych powiedzmy najbardziej znanych, podstawowych i przede wszystkim zaufanych programach na linuksa z obszaru bezpieczeństwa, żeby zrobić listę:
- AppArmor
- SElinux
- Snort
- wspomniany rkhunter (właśnie zainstalowałem)
- ClamAV antywirus - nie ma skanowania online
- Avast antywirus - nie ma skanowania online
- firewalle: np. iptables i nakładki graficzne: Firestarter, Gufw - jest tego dużo

Na stronie http://www.linuxlinks.com/Software/Networking/Security/
Jest dużo softu, ale chciałbym wiedzieć co jest sens używać na desktopie dla osób z profilem osobowościowym 'paranoik' w zakresie bezpieczeństwa.