olefiver Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 Tja, jeg vet ikke jeg. Når en som har jobbet i 15-20 år med sikkerhet og Penetration Testing sier at han er garantert å komme inn på en Linux boks, mens han ikke kan si det samme om en Windows server, så tyder vel det på noe litt annet. Og det er ikke manglende kompetanse på Windows som gjør at han ikke alltid kommer inn på en Windows Server. Hvem er dette? Har du en link? Høres interessant ut, skulle likt å lest om det. Jeg hevder ikke at Windows i seg selv er svakere på grunn av mange brukere, men snarere det faktum at stor markedsutbredelse gjør at det er en plattform som er spesielt gunstig å forsøke å finne sikkerhetshull i, all den tid sannsynligheten for at man finner mange verter som man kan bryte seg inn på øker med markedsutbredelsen. Enkel logikk. Stor markedsutbredelse gjør at MS får desto flere feilmeldinger, og det blir større sannsynlighet for at MS kan lage patcher for å fikse problemene som så mange brukere har. Også enkel logikk. Enda mer enkel logikk: linux kildekode er åpen for alle. Hvem som helst kan laste ned koden og se gjennom for å finne sikkerhetshull for virus og cracking angrep. Jeg har ikke virus på mine linux maskiner... Lenke til kommentar
roac Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 Tja, jeg vet ikke jeg. Når en som har jobbet i 15-20 år med sikkerhet og Penetration Testing sier at han er garantert å komme inn på en Linux boks, mens han ikke kan si det samme om en Windows server, så tyder vel det på noe litt annet. Og det er ikke manglende kompetanse på Windows som gjør at han ikke alltid kommer inn på en Windows Server. Hvem er dette? Har du en link? Høres interessant ut, skulle likt å lest om det. Jeg sikter til John Nunes, om han har en artikkel tilgjengelig på dette er meg uvisst. Stor markedsutbredelse gjør at MS får desto flere feilmeldinger, og det blir større sannsynlighet for at MS kan lage patcher for å fikse problemene som så mange brukere har. Også enkel logikk. Og det gjør de da også, de aller fleste automatiserte angrepene som skaper problemer for folk er det faktisk patch ute for, og det har det som oftest vært i en god stund. Tiden fra en patch blir sluppet til et automatiskert angrep sannsynligvis slippes reduseres, men et patchet system er fremdeles rimelig sikkert mot automatiserte angrep. Lenke til kommentar
roac Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 Hvor fair er det å sammenligne en flunkende ny Linux distro med en 3-4 år gammel windows installasjons CD? Både ja og nei... Å sammenlikne antall security advisories blir jo helt feil. Men når vi derimot skal vurdere kvalitet, brukervennlighet og sikkerhet på et OS, tar man jo det nyeste som er tilgjengelig. I så fall tar man Windows XP med Service Pack 2, ikke noe tidligere. Lenke til kommentar
Elendil Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 De hadde ikke sagt noe, de hadde bare bestilt en ny undersøkelse fra litt mere "objektive" personer Seier mykje om Microsoft/Windows da. Lenke til kommentar
roac Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 De hadde ikke sagt noe, de hadde bare bestilt en ny undersøkelse fra litt mere "objektive" personer Seier mykje om Microsoft/Windows da. Det er ikke noe som er spesielt for Microsoft da, det er ganske vanlig i IT-bransen. Se for eksempel på ytelsestester av prosessorer fra Intel og AMD, nettverkskort fra 3Com og Intel. Det finnes en rekke eksempler. Lenke til kommentar
Codename_Paragon Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 jeg er slettes ikke sikker på det jeg sier om IE i kernelen, så du har meget mulig rett der. Generelt sa MicroSoft i rettsaken mot dem at IE var en integrert del av operativsystemet, så den kunne ikke fjernes uten videre. I tillegg skjer mye av grafikkrenderingen i kjernen av operativsystemet av ytelsesgrunner. Første delen er kilden til mye vondt, andre delen har det vært noe færre problemer med, bl.a. endel småplukk med BMPfiler som kunne skade systemet (denne kom kort etter at kildekoden kom på avveier), og senere PGNfiler med samme problemet. Lenke til kommentar
Codename_Paragon Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 Litt mer her, objektivt, om oppdatering av en XPmaskin. En maskin hadde vært av nettet i ca. 2 måneder, manglet adskillinge hotfixer. Siden den bruker modem, var det ikke hensiktsmessig å laste ned fra nett, ikke bare pga. tiden, men også sannsynligheten for at svineriet veltet inn før sperrene var på plass. Så jeg fikk filene fra en DVD med oppdateringer. Det hele var alt annet enn brukervennlig. - hotfixene var ikke dokumenterte, en banal introfil sa at det var med hensikt (!) for at en skulle lese KB-artiklene nøye gjennom først. Disse fulgte ikke med. Noe av poenget var å gjøre dette uten å gå på nett. De er heller sjelden egnet for alminelige sluttbrukere. - hotfixene var ikke sortert, for hver del måtte en pløye gjennom opptil 10 kataloger for diverse arkitekturer. Rot. - dato for annonseringene av disse var ikke gitt, så jeg måtte lete meg frem til første som ikke allerede var lagt inn på maskinen. Mer rot. - for hver fiks, fikk en ordre om 1 lukk alle vinduer først 2 les igjennom et stykke juridisk lirumlarum ingen sluttbruker ville like å bli plaget med - for endel fikser måtte en også reboote. Det hele tok flere timer, mye irritasjon var det, og så brukerfiendtlig det kunne gå an. Det hele er totalt uegnet for alminnelige brukere som bare vil at det skal fungere. Lenke til kommentar
roac Skrevet 3. juli 2005 Del Skrevet 3. juli 2005 (endret) Mye om hvor vanskelig det er å installere updates manuelt. Tja, jeg er forsåvidt med på det, men siden du virker å ha greie på det du holder på med forundrer det meg at du ikke har funnet frem til denne Knowledge Base artikelen: Command-line switches for Windows software update packages Det hadde spart deg for mye tid Endret 3. juli 2005 av roac Lenke til kommentar
Torbjørn Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Er det ikke bare å bruke windows firewall? Lenke til kommentar
olefiver Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Jeg sikter til John Nunes, om han har en artikkel tilgjengelig på dette er meg uvisst. Takk mann. Virka som en oppegående fyr, selvom jeg syns begrunnelsen hans for valget mellom å cracke en *nix boks kontra win boks var noe spesiell. Hvis jeg har valget mellom [å hacke, red. anm.] en *NIX-server og en som kjører på Windows 2003, velger jeg *NIX-boksen av én eneste grunn: Det er mindre sannsynlig at en *NIX-server har en oppegående administrator som vet hva han gjør, mens Windows-operatøren bare trenger å trykke på en knapp for å tette hullene Jeg må si at mine erfaringer heller mot det motsatte, men det er en god sjanse for at mine erfaringer ikke har særlig stor bredde Derimot likte jeg dette sitatet. Richard Svendsen: How do I “destroy” the people the makes viruses? :-) Nunes: Convince the software developers to make products that don’t have so many vulnerabilities. Hope this helps! Lenke til kommentar
Codename_Paragon Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Mye om hvor vanskelig det er å installere updates manuelt. Tja, jeg er forsåvidt med på det, men siden du virker å ha greie på det du holder på med forundrer det meg at du ikke har funnet frem til denne Knowledge Base artikelen: Command-line switches for Windows software update packages Det hadde spart deg for mye tid Takk for link. En rask gjennomgang av innholdet er fortsatt ikke oppløftende, masse høyreklikking, properties, manuell ekstraksjon og annet svineri. I tillegg må en fortsatt lokalisere arkitekturen for hånd. Her må designeren med vilje ha gjort tingene så håpløse som mulig. Katalog for XP-i86 kunne være alt fra 1 til 10. Hvorfor ikke gi katalogene navn som er til å forstå betydningen av? Jeg vet heller ikke hvor lurt det er å ikke reboote maskinen når installasjonen helst vil det selv. Det er mulig dette gjør jobben raskere for en som er erfaren, men det vil fortsatt skremme dagslyset ut av en alminnelig sluttbruker. Lenke til kommentar
roac Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Jeg vet heller ikke hvor lurt det er å ikke reboote maskinen når installasjonen helst vil det selv. Det er mulig dette gjør jobben raskere for en som er erfaren, men det vil fortsatt skremme dagslyset ut av en alminnelig sluttbruker. Nå bruker jeg automatisk oppdatering selv, men jeg mener bestemt at du bare kan slenge alle hotfixene i en katalog, og så skrive f eks dir *.exe /b > doupdate.cmd for så å redigere denne filene, og erstatte alle forekomster av ".exe" med ".exe /q /z" /q = Quiet Mode /z = No Restart Sistnevnte skal det ikke være noe problem med, men det bør foretas en reboot etter at siste patch er lagt inn. Det skal ikke være nødvendig å pakke ut eller på andre måter behandle hotfixene før dette gjøres. Lenke til kommentar
redflames Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 wow roac, du er virkelig en windows fanatiker... sidesprang: du liker vel ikke gui-en under windows ? *hirrhirr* neida vel... jeg mener jeg leste at «når windows kom ut, var det mye sikrere enn linux "out of the box" på den tiden», men jeg fant ikke igjen hvem som skrev det. Iallefall: Hvor sikkert er et operativsystem som, om du ikke setter brukerpassord ved installasjon, lar "Administrator" (àla root), som med det samme er en "skjult konto", med mindre man logger inn via sikkerhetsmodus, stå uten passord? Man kan jo også logge inn som administrator via "klassisk innlogging" (noe som forresten er ufattelig mye mer behagelig enn "modern". Problemet er da kun at windows ikke klarer å bruke klassisk innlogging OG la deg bruke operativsystemet som et multiuser-system. Nok om det...) Hvor mange ute i verden hadde på den tiden, og har den dag i dag(?), en helt åpen administrator konto? Jeg har personlig ikke peiling på når denne bug-en ble fjernet eller hvordan de løste problemet, men hva hjelper det når utallige windows installasjons cd-er er med denne bug-en ute på markedet? Da er det litt for sent kjære Microsoft... Finner du en større bug enn dette i "OS historien" så vil jeg gjerne høre det... En liten historie anngående dette: Da jeg gikk på ungdomsskolen fikk skolen 10-12 bærbare pc-er fra kommunen til skolebruk. Disse var satt opp av folk på kommunen og var UBESKYTTET av dette. Det er i mine øyne vanskelig å fatte. De hadde satt opp en egen admin-konto ("Admin"), men hva hjelper det når den egentlige administrator-kontoen ("Administrator") står åpen for "alle"? forresten roac: «slik at du slipper "problemet" med flere disker.». Har jeg sagt jeg ikke liker det? Jeg sa kun at filsystemet til linux er ufattelig mye bedre enn windows sitt. Men det er min mening. Et OS der filene ligger på bestemte steder, og skal ligge der, er mye bedre enn et hvor man kan legge en fil hvor som helst. Mye ryddigere iallefall. Som sagt... Min mening! gidder ikke lese over dette nå så dere får bare tåle evt. feil her Lenke til kommentar
Torbjørn Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Her er noe av kjernen til hvorfor windows er så latterlig. De tillater blankt administrator passord, og de lytter etter RPC forbindelser på tcp port 135 (dette er fjernstyring av maskinen og er hva fjortissene bruker på lan for å skru av andres maskiner) Det er i windows natur å aktivere denne nettverksstyringen av maskinen. Videre i windows fjonge og flotte brukersystem legger de eieren og andre personer inn som administratorer. Og er ikke så nøye med passord på disse kontoene heller. Er det virkelig mulig? Har microsoft virkelig ikke lært? De kan takke høyere makter for at NAT rutere ble en slik suksess som de ble. Man kan bare drømme om hva som ville skjedd med Sasser og My.Doom m/venner hvis ikke (som gikk på rpc). Lenke til kommentar
Micromus Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Bare det å svare på et slikt spørsmål er å vedkjenne seg sin egen uvitenhet. Hva er mest effektivt av en lastebil og en racerbil? Uten kontekst er dette spørsmålet _umulig_ å svare på. Det er mulig å diskutere fordeler og ulemper opp og i mente, men uten kontekst går det ikke ann å summere. Hvis du i det hele tatt prøver å besvare et slikt spørsmål vedkjenner du din egen uvitenhet om temaet, avhengig av sammenhengen vil eksempelvis følgende være egenskaper som kan være enten fordeler eller ulemper: Lastekapasitet Akselerasjon Topphastighet Sjåførsikkerhet Drivstoffbruk Vekt Vedlikeholdskostnader ...og sikkert mye mer Grunnene til at jeg bruker denne analogien er at det er meget vanskelig å presentere idèer der leseren allerede er låst i et tankespor ( hjernevasket i enkelte tilfeller ) angående et tema, som her; Windows vs. Linux og sikkerhet. Den andre er at det finnes så mange variabler når det gjelder informasjonssikkerhet at jeg ikke vet hvor jeg skal begynne... Lenke til kommentar
roac Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Mye om "håpløse" standardinnstillinger i Windows. Et operativsystem blir aldri sikkert, uansett hvilket det er snakk om, før en administrator setter seg ned og konfigurerer det. Men, som en Micromus påpeker (eller peker i retning av), disse sikkerhetsproblemene er veldig små om man skal se på sikkerheten totalt sett. Derfor blir jeg lettere oppgitt over slike diskusjoner, for det blir brukt alt for mye tid på å fokusere på helt andre områder av sikkerhet enn de man virkelig burde se nøye på. Hvor mange tenker egentlig tilstrekkelig på fysisk sikkerhet? Hvor mange tenker tilstrekkelig på social engineering? Men, ja da. Jeg er også klar over at det er noe som heter hjemmebrukere, men det er min oppfatning at hjemmebrukere ikke skal ha ansvaret for installering/konfigurering av et OS selv, de er ikke i stand til å se hvilke konsekvenser sine handlinger/konfigureringer har. Dette gjelder ikke bare Windows, men i aller høyeste grad Linux også. Er telnet farlig? Enn Ftp? Men en webserver er vel ikke farlig? Listen over tjenester på Linux er neppe særlig kortere enn på Windows, og ingen må komme å fortelle meg at det er ikke er risiki forbundet med å sette opp disse på Linux. Men, jeg melder meg litt av denne diskusjonen nå. Jeg mener ikke at Windows er fantasetisk, og at alt er best på Windows. Snarere at Windows får mye mer pepper enn det fortjener. Og ang filsystemet, det du påpeker der er vel begrensninger i Operativsystemet, så lar linux deg i utgangspunktet legge programmer akkruat hvor du vil, så lenge du har tilgang til mappen. Det samme er det på Windows. Begge OSene har standard-lokasjon for programfiler. Jeg ser faktisk ikke den helt store forskjellen her. Lenke til kommentar
roac Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 De tillater blankt administrator passord, og de lytter etter RPC forbindelser på tcp port 135 (dette er fjernstyring av maskinen og er hva fjortissene bruker på lan for å skru av andres maskiner) Det er i windows natur å aktivere denne nettverksstyringen av maskinen. Videre i windows fjonge og flotte brukersystem legger de eieren og andre personer inn som administratorer. Og er ikke så nøye med passord på disse kontoene heller. Er det virkelig mulig? Har microsoft virkelig ikke lært? De kan takke høyere makter for at NAT rutere ble en slik suksess som de ble. Man kan bare drømme om hva som ville skjedd med Sasser og My.Doom m/venner hvis ikke (som gikk på rpc). RPC brukes til en rekke tjenester, og er en nyttig prosess som brukes lokalt på et LAN. Det er ikke dermed sagt at denne prosessen skal få sende/motta trafikk til/fra eksternt nett. Dette er ikke noe spesielt for denne tjenesten. Dersom du setter opp en databaseserver, så vil du sannsynligvis ikke at denne skal være tilgjengelig fra eksternt nett heller. Det samme med Telnet. Telnet går vel som standard på Linux, gjør den ikke? Ja da, jeg er klar over at RPC har flere sider ved seg som kan unyttes enn Telnet, men det er likevel det samme prinsippet. En PC/Server må sikres. Men for all del, å sende RPC-trafikk til internett (eller godta slik trafikk inn) er det glade vannvidd. Lenke til kommentar
Torbjørn Skrevet 4. juli 2005 Del Skrevet 4. juli 2005 Her handler det ikke om ruting av internett til sin pc, det handler om hva din PC tillater i seg selv, uachengig av lokal nettverkstopologi. RPC fint å bruke på lan? Hvor mange vanlige hjemmebrukere er det som har noen som helst form for glede av RPC? Hvis det er tilfellet er RPC noe som burde sto default av og med store utropstegn rundt "skru på"-knappen Telnet brukes ikke av linux, men ssh (som er kryptert telnet i prinsipp). den startes ikke med mindre du ber den om å gjøre det. og er ikke noen grunnleggende tjeneste på noe som helst vis. bare et nyttig verktøy for avanserte brukere. Det lar seg meget enkelt gjøre å regulere hvem som skal ha tilgang til ssh (når ssh først startes), et par ipadresser i en fil. En kort brainstorming på min egen windowsmaskin: - RPC lar set ikke stoppe via "Services" panelet - RPC lar seg tilsynelatende ikke begrense til lokalnettet - Følgende interessante tjenster er avhengig av RPC (lista er ellers lang): * Bluetooth (hvorfor det?) * COM+ Event og Application system * Cryptographic services * Error reporting service (får jeg ikke loggført feilmeldinger uten RPC??) * Indexing Service (hva i all verden har filindeksering med RPC å gjøre?) * Help and Support (dette er jo høl i huet) * Logical Disk Manager * Messenger * Network Connections (får jeg ingen connections uten RPC??) * Print Spooler (ingen utskrift uten RPC) Og lista fortsetter, sjekk din egen maskin og spør deg selv om du kan gjøre rede for koblingen mellom RPC og det du finner. Jeg poengterer igjen, ssh (secure shell) er ikke noe som andre applikasjoner avhenger av, det er en service for avanserte brukere som vil administrere sin maskin over nett. Den er ikke mer enn det. På windows kan jeg ikke deaktivere RPC, for da blir boksen i prinsipp en ubrukelig skraphaug (ikke nett, ikke utskrift, ikke errorlogg, ikke bluetooth, .... ) Det er åpenbart at windows bruk av RPC ikke kan sammenlignes med linux-distroer sin bruk av remote terminalpålogging. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå