винда vs. линух [холивар]
ебни этим диском об стенку пару раз
умер звукОтключи сервис Windows Audio.
Пароль поставь на всех пользователей
ебни этим диском об стенку пару разон внутри ноута. не самого дешёвого
разбери, бля, ноут
Отключи сервис Windows Audio.э как? ни разу не видел в винде папке /etc
Повторюсь для особо сообразительных: сломать висту когда она запущена я и сам прекрасно могу. фишка в том что есть только доступ к диску по ssh.
разбери, бля, ноутза ним владелец сидит.
"Сломать" до ближайшей перезагрузки можно чем-то типа:
net stop windowsaudio
(не ручаюсь за имя сервиса)
Погугли, наверняка сервисы можно через консоль не только останавливать, но и дизейблить.
net stop windowsaudio
(не ручаюсь за имя сервиса)
Погугли, наверняка сервисы можно через консоль не только останавливать, но и дизейблить.
читаем последнее предложение в первом посте.
ты очень, очень плохой человек
подключи его реестр и подправь там что-нить, добавь, например, в автозагрузку батник, который убивает эксплорер
работать станет невозможно, гыгы
подключи его реестр и подправь там что-нить, добавь, например, в автозагрузку батник, который убивает эксплорер
работать станет невозможно, гыгы
подключи его реестр и подправь там что-нить,вроде нельзя подключить реестр с выключеной машины
Я знаю, что можно сделать. Но определённо не буду способствовать подлецам.
что значит выключенной? ты как с ней манипуляции проводить собираешься?
что значит выключенной? ты как с ней манипуляции проводить собираешься?на машине может быть не одна ось
Вообще можно было догадаться, что там в отличной от целевой Vista системе крутится ssh сервер, к которому у нашего подлеца есть доступ.
ты не умеешь править реестр незагруженной системы?
какой кошмар
какой кошмар
Думаю из-под ssh *nix это не так тривиально, как тебе кажется.
Я знаю, что можно сделать. Но определённо не буду способствовать подлецам.тоесть не зная о целях и причинах моих поступков ты назвал меня подлецом?
если бы ты делал что-то хорошее, тебе бы не пришлось делать это тайно
ты не умеешь править реестр незагруженной системы?не умею чесслово. но если ты говоришь что можно счас пойду копать.
какой кошмар
а сколько лет ты работаешь в поддержке, извини за нескромный вопрос
обоже. взять его оттуда, поправить хотя бы под виртуалкой и положить обратно..
а сколько лет ты работаешь в поддержке, извини за нескромный вопросдва года.
обоже. взять его оттуда, поправить хотя бы под виртуалкой и положить обратно..ты предлагаешь поставить мне на виртуалку висту?
тебе бы не помешало уделять больше времени саморазвитию, вместо подлянок коллегам и пользователям
Если тебе наскучил кто-то, могу посоветовать положить в автозагрузку текст, содержащий всё, что ты о нём думаешь, с обязательной подписью.
вместо подлянок коллегам и пользователямкакие нах коллеги и пользователи. это сосед блин.
ну если так приперло, что по-другому никак, то что ж делать
яхз насчет того, может ли regedit32 от XP редактировать вистовский реестр, не имел несчастья испытать)
если может, то можно и вайновским регедитом его, наверное.
вот например, посмотри:
http://forum.ixbt.com/topic.cgi?id=22:59670:14a>
яхз насчет того, может ли regedit32 от XP редактировать вистовский реестр, не имел несчастья испытать)
если может, то можно и вайновским регедитом его, наверное.
вот например, посмотри:
http://forum.ixbt.com/topic.cgi?id=22:59670:14a>
за что ты его так? 
может лучше сразу башкой об стену?
Если тебе наскучил кто-то, могу посоветовать положить в автозагрузку текст, содержащий всё, что ты о нём думаешь, с обязательной подписью.и где она в висте лежит?
может лучше сразу башкой об стену?я ж не вред ему хочу принести. только пользу.
обычно в %root_drive%/Users/%username%/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
путь в русской редакции, думаю, сам найдешь
путь в русской редакции, думаю, сам найдешь
Это какую-такую пользу?
не умею чесслово. но если ты говоришь что можно счас пойду копать.чё-то я туплю, но так и не понял как.
берешь его как написано тут
http://otvety.google.ru/otvety/thread?tid=4620d12f80e95fa9&a...
редактируешь регедитом как написано по моей ссылке на хоботовский форум в этом треде. заливаешь обратно.
http://otvety.google.ru/otvety/thread?tid=4620d12f80e95fa9&a...
редактируешь регедитом как написано по моей ссылке на хоботовский форум в этом треде. заливаешь обратно.
пасиб. нашёл, поправил. теперь у него не пашет звук и он наконец решил забросить эту глючную поделку мелкософта и полностью перейти на линух.
отлично 
*готовься получить плевки в карму от пенартура
*готовься получить плевки в карму от пенартура
он наконец решил забросить эту глючную поделку мелкософтая бы на его месте решил опусть sshd и не давать больше доступа туда всяким левым людям. Ну каждому - своё.
Оло-ло-ло.
Линукс кончится через два дня. Максимум через три.
У кого будут другие прогнозы?
Линукс кончится через два дня. Максимум через три.
У кого будут другие прогнозы?
я бы на его месте решил опусть sshd и не давать больше доступа туда всяким левым людям. Ну каждому - своёsshd я сам опустил ибо действительно нефиг. и я не думаю что если бы у тебя под виндами перестал работать звук ты первом делом бы полез опускать демон на другой операционке.
Оло-ло-ло.с хуя ли?
Линукс кончится через два дня. Максимум через три.
У кого будут другие прогнозы?
Я сам тоже последнее время активно действую в направлении популяризации GNU/Linux. Только у меня обычно находятся объективные причины для такой агитации (да и это скорее не агитация, а констатация фактов, которые людей побуждают задуматься). А такие методы заслуживают исключительно порицания. Я бы сказал ты позоришь саму идею перехода на свободные ОС, навязывая их людям (т.е. как раз таки нарушешь свободу выбора на основе объективной информации)
Щас сломаем. Давай credentials для ssh и внешний IP.
Я сам тоже последнее время активно действую в направлении популяризации GNU/Linux. Только у меня обычно находятся объективные причины для такой агитации (да и это скорее не агитация, а констатация фактов, которые людей побуждают задуматься). А такие методы заслуживают исключительно порицания. Я бы сказал ты позоришь саму идею перехода на свободные ОС, навязывая их людям (т.е. как раз таки нарушешь свободу выбора на основе объективной информации)Ты прав. Но я считаю что в этом случае мой поступок обоснован. Сам попросил поставить линух, а вситой пользовался исключительно по инерции. Я помог преодолеть инерцию.
Щас сломаем.предлагаю грохнуть ld. Эффект будет презабавнейший.
внешний IPмне б себе такое счастье получить.
sudo aptitude install miredo
или
Gateway6 client поставь и зарегистрируйся на freenode6.net
или
Gateway6 client поставь и зарегистрируйся на freenode6.net
тебе уже один фиг не поможет. sshd опущен.
Я, вообще-то, объяснял начало процесса получения внешнего IPv6 при доступном IPv4 интернете, который, как мне показалось, ты не прочь бы иметь.
МНЕ не нужен белый IPv6. мне нужен белый IPv4.
чтобы соблюсти мировое равновесие ты должен сейчас сломать ему звук на линухе.
Тогда несчастный может подумать, что дело в его Hardware
чтобы соблюсти мировое равновесие ты должен сейчас сломать ему звук на линухе.я ему его пол дня чинил. хер я теперь стану его ломать.
Тогда несчастный может подумать, что дело в его HardwareАга. Предлагается игра на загон юзера на оговоренное заранее Software/Hardware. Например сейчас есть возможность загнать его на Mac. Можно поизголяться как угодно, если чел так ведется =)
ты потратил полдня на звук в линухе, ещё полдня чтобы найти способ сломать его в винде.
и всё для того чтобы пересадить человека, который использует комп в основном для инета и фильмов с системы в которой у него всё работало (для его целей) на систему в которой у тебя ушло полдня только на звук?
можешь рассказать свою мотивацию?
и всё для того чтобы пересадить человека, который использует комп в основном для инета и фильмов с системы в которой у него всё работало (для его целей) на систему в которой у тебя ушло полдня только на звук?
можешь рассказать свою мотивацию?
я, конечно, не пенартур и смиркать не умею, но все же скажу: наверное это сделано оттого, что с вистой проблем возникало намного больше, и еще больше проблем возникнуть могло в будущем.
ну во-первых по выходным мне скучно.
чинил я звук потому что интересно.
мотивацию для ломания я уже рассказал.
кстати никто не говорил что винда работала нормально. она дико тормозила, переодически самопроизвольна уходила ребут и сама собой падала сеть. это всё терпимо но назвать это нормальным у меня язык не поворачивается.
чинил я звук потому что интересно.
мотивацию для ломания я уже рассказал.
кстати никто не говорил что винда работала нормально. она дико тормозила, переодически самопроизвольна уходила ребут и сама собой падала сеть. это всё терпимо но назвать это нормальным у меня язык не поворачивается.
Словом, это потому что ты - красноглазый *nixоид.
она дико тормозила, переодически самопроизвольна уходила ребут и сама собой падала сетьэто всё hands.sys
скорее это просто лень - не всем же охота ебаться с системой доводя её до рабочего состояния. Иногда просто хочется, чтобы всё сразу работало стабильно прямо из коробки.
полдня настройки звука это из коробки?
Словом, это потому что ты - красноглазый *nixоид.А ты красноглазый вендузятнег, который, впрочем не шарит в своих хобби. Ну и что?
полдня настройки звука это из коробки?ну, бывает. У меня в венде вообще перестал грузиться эксплорер - какое-то сообшение про "активация windows через sms", а всё потому что в ней нет репозиториев. И даже знаю из-за какой программулинки всё это пошло, но не суть, ибо и до неё всё работало криво и косо.
как наличие репозитория связано с подхватыванием вируса?
кочание софта однако.
а я одобряю твои действия.
в свое время мне сосед примерно так же "помог" перейти окончательно на gentoo, которая стояла в дуалбуте с виндой.
правда, он случайно (или нет?) во время пьянки по поводу его ДР нажал ногой на reset моего включенного компа, после чего винду восстановить так и не удалось.
теперь я ему за это очень благодарен.
в свое время мне сосед примерно так же "помог" перейти окончательно на gentoo, которая стояла в дуалбуте с виндой.
правда, он случайно (или нет?) во время пьянки по поводу его ДР нажал ногой на reset моего включенного компа, после чего винду восстановить так и не удалось.
теперь я ему за это очень благодарен.
Я не "красноглазый виндузятник". Я красноглазый .NET'чик.
Как бы я качаю софт и у меня не возникает проблем с вирусами.
Всё же дело в hands.sys
Всё же дело в hands.sys
Как бы я качаю софт и у меня не возникает проблем с вирусами.ну дык потому что ты красноглазый. Мне влом гуглить по конкретной софтине - дали ссылку, скачал, поставил, вирус. Профит!
Всё же дело в hands.sysдругой с поломанным /dev/brain. Лень != кривизна рук. Мне как-то влом гуглить по каждой софтине чтобы найти надёжный источник, откуда её можно скачать - уже одного общения с тормозными вечно вырубающимися asp-шными сцайтцами нвидии и асуса-креатива хватает, чтобы напрочь исчерпать терпение - проверять второстепенные поделки уже слишком влом. Естественно, если бы я работал в этом решете, то и обращение было бы другим, а так - если гружу я её раз в неделю чтобы взгамнуть, то и возиться много не хочется.
ну дык потому что ты красноглазый. Мне влом гуглить по конкретной софтине - дали ссылку, скачал, поставил, вирус. Профит!точно также ты поставишь вирус и на *nix
точно также ты поставишь вирус и на *nixиз репозитория или svn?
Да легко. За 10 минут пишется простой бот клиент и заливается на какой-нибудь хостинг.
А дальше что? С тебя тут же начнут качать как с официального зеркала репозитория дистрибутива? И при этом еще контрольные суммы твоих вирусов и нормальных программ волшебным образом совпадут?
Да легко. За 10 минут пишется простой бот клиент и заливается на какой-нибудь хостинг.ага, а дальше паяльником заставлять меня ставить это? Имхо, здесь одного паяльника достаточно.
из репозитория или svn?да, хоть оттуда, хоть оттуда
А дальше что? С тебя тут же начнут качать как с официального зеркала репозитория дистрибутива? И при этом еще контрольные суммы твоих вирусов и нормальных программ волшебным образом совпадут?что такое официальное зеркало репозитория для программы MyCoolPricol?
да, хоть оттуда, хоть оттудаты что про дебиан вспомнил?
Я конечно знаю, что личные оскорбления это нехорошо, но: Ты идиот?
Поботай для начала что есть репозиторий ПО. И к чему он относится: к программе или дистрибутиву ОС.
Поботай для начала что есть репозиторий ПО. И к чему он относится: к программе или дистрибутиву ОС.
точно также ты поставишь вирус и на *nixс этим не согласен?
Да ё моё, что вы как дети малые?
Да хоть в интернете найти какой-нить полезный скрипт, "поправить" его и выложить на каком-нибудь популярном ресурсе, где комментировать нельзя. Или где ты модер.
Да хоть в интернете найти какой-нить полезный скрипт, "поправить" его и выложить на каком-нибудь популярном ресурсе, где комментировать нельзя. Или где ты модер.
Я конечно знаю, что личные оскорбления это нехорошо, но: Ты идиот?нихера не понял.
Поботай для начала что есть репозиторий ПО. И к чему он относится: к программе или дистрибутиву ОС.
сказал, что откуда-то поставил какую-то левую программу MyCoolPricol, а там оказался вирус.
внимание, вопрос: в чем будет отличие на *nix-е?
1. mycoolpricol добавлена в репозиторий, кто гарантирует, что прога добавленная в репозиторий - не имеет вирусов?
2. mycoolpricol не добавлена в репозиторий, кто гарантирует, что она взятая с левого svn - не имеет вирусов?
1. mycoolpricol добавлена в репозиторий, кто гарантирует, что добавленная в репозиторий - не имеет вирусов?o_O
не бывает же так просто "добавлена в репозиторий". у каждого пакета есть свой maintainer. он и гарантирует.
А что мне мешает стать maintainer'ом, повыпускать что-нибудь, а потом взять, да и добавить вирус?
Или, как вариант, послать патч, который что-то фиксит, но создаёт дыру в безопасности.
Или, как вариант, послать патч, который что-то фиксит, но создаёт дыру в безопасности.
А каким образом проверяется maintainer на существование в реальности?
А что мне мешает стать maintainer'ом, повыпускать что-нибудь, а потом взять, да и добавить вирус?выебут тебя
Кто? Как? Как меня найдут?
внимание, вопрос: в чем будет отличие на *nix-е?Давай разбираться с терминами.
1. mycoolpricol добавлена в репозиторий, кто гарантирует, что прога добавленная в репозиторий - не имеет вирусов?
2. mycoolpricol не добавлена в репозиторий, кто гарантирует, что она взятая с левого svn - не имеет вирусов?
1. Если программа MyCoolPricol добавлена в репозитарий твоего дистрибутива, то это означает, что производитель (маинтайнер) дистрибутива имеет исходный код этой программы, изучил его, оценил его на соответствие сотне критериев (полезность, доступность и понятность исходного кода и тп собрал, протестировал, подписал и выложил на свой официальный сервер. Вероятность того, что таким образом в репозиторий попадёт вирус - исчезающе мала.
2. Если программа скачана из чужого svn, которому ты не очень доверяешь - то ты сам перед сборкой проекта можешь изучить её исходный код, так как в svn обычно хранят исходники. Если ты не сделал этого - то да, у тебя есть шанс собрать вирус.
3. Более простой путь получить вирус на линуксе - скачать неизвестный неподписанный бинарник с сайта васи пупкина. Однако так никто не делает, потому что подавляющее большинство необходимых программ либо находятся в репозитарии майнтейнера твоего дистрибутива, либо распространяется в исходниках. А вот среди пользователей Windows такой способ распространения программ как раз и является самым распространённым. Многочисленные сайты с крякнутым софтом и прочим тому подтверждение. Да и диски "стопицот программ для дизайнера с креками", "суперсборка винды от васипупкина" или "восстановление системы за 20 минут" тоже особо доверия не внушают.
А что мне мешает стать maintainer'ом, повыпускать что-нибудь, а потом взять, да и добавить вирус?Мейнтейнер - это фактически один из создателей дистрибутива. Чтобы им стать, нужно очень неплохо себя зарекомендовать.
Или, как вариант, послать патч, который что-то фиксит, но создаёт дыру в безопасности.Этот патч прежде чем быть примененным сначала проверится мейнтейнером. Он для того и передается в виде патча, а не самого подправленного исходника, чтобы сразу легко было видно что будет изменено.
Как ни крути, создателям дистрибутива конечно прийдется доверять.
Вероятность того, что таким образом в репозиторий попадёт вирус - исчезающе мала.сколько программ уже обычно добавлено в репозиторий?
2. Если программа скачана из чужого svn, которому ты не очень доверяешь - то ты сам перед сборкой проекта можешь изучить её исходный код, так как в svn обычно хранят исходники. Если ты не сделал этого - то да, у тебя есть шанс собрать вирус.и за сколько времени проверяется исходник хотя бы маленькой программы?
сколько программ уже обычно добавлено в репозиторий?В Ubuntu например около 15 тысяч пакетов.
Понятия не имею, я так не делал, потому что единственная программа, которую я регулярно собирал из svn - это ICQ-клиент SIM, а производителям этого клиента я доверял, потому что у него большое комьюнити и если бы что-то было не так, об этом давно бы написали в многочисленных форумах и списках рассылки.
В Ubuntu например около 15 тысяч пакетов.даже если в каждом пакете меняется по строчке в день.
то ты веришь, что кто-то проверяет все эти 15 тыс. строк каждый день?
То есть ты думаешь, что возможно создать open source вирус... Только твои исходники обязательно кто-нибудь прочтет, как только число пользователей перевалит за пару десятков. Так что до мейнтейнеров это и не дойдет. Т.к. они добавляют программы, которыми пользуются достаточное число человек в мире.
Да ё моё, что вы как дети малые?Слушай лост, вот когда ты станешь модератором хотя бы на фэдосном форуме не в разделе гарбадж, тогда я посмотрю, будешь ты туда вирусы выкладывать или не будешь.
Да хоть в интернете найти какой-нить полезный скрипт, "поправить" его и выложить на каком-нибудь популярном ресурсе, где комментировать нельзя. Или где ты модер.
И вообще там была шутка, это если ты не понел. башорг - сайт с шутками. Ну не знаю как еще, web page, дальше по первой ссылке.
Вообще я бы сказал, нет ничего невозможного.... Да, можно так сделать. Только вот отношение усилий, которые ты на это затратишь к числу пораженных компов будет уж очень мало.
Да ё моё, что вы как дети малые?напомнело
Да хоть в интернете найти какой-нить полезный скрипт, "поправить" его и выложить на каком-нибудь популярном ресурсе, где комментировать нельзя. Или где ты модер.
вариантов атаки много есть.
начиная от втирания в доверие к разработчику уже добавленной программы - продолжая атакой на разработчика уже добавленной программы - заканчивая разработкой нужной проги с дыркой.
ps
причем сама прога может не иметь вирус, в ней только должна быть дырка, через которую вирус в дальнейшем может влезть.
pps
понятно, что все это имеет смысл когда линукс имеет хотя бы 10-40%, а не как сейчас - 1-4%
начиная от втирания в доверие к разработчику уже добавленной программы - продолжая атакой на разработчика уже добавленной программы - заканчивая разработкой нужной проги с дыркой.
ps
причем сама прога может не иметь вирус, в ней только должна быть дырка, через которую вирус в дальнейшем может влезть.
pps
понятно, что все это имеет смысл когда линукс имеет хотя бы 10-40%, а не как сейчас - 1-4%
причем сама прога может не иметь вирус, в ней только должна быть дырка, через которую вирус в дальнейшем может влезть.О какого типа дырке ты говоришь? Приведи пример.
короче ты не сделал последний, главный вывод: вместо такой ебли лучше венду окучивать.
Ну и ещё один: паяльник рулит.
Ну и ещё один: паяльник рулит.
О какого типа дырке ты говоришь? Приведи пример.допустим для C - переполнение буфера.
для какого-нибудь php - sql-inject.
и т.д.
даже если в каждом пакете меняется по строчке в день.то ты веришь, что кто-то проверяет все эти 15 тыс. строк каждый день?Немного не так.
У каждого пакета есть свой собственный upstream-maintainer. Это чувак, который либо непосредственно занимается разработкой этой программы, либо её координирует. Возьмём к примеру две программы, большую и мелкую, firefox и тот же SIM, и Убунту в качестве дистрибутива.
В случае firefox upstream-maintainer является Mozilla Corp. Она ведёт разработку как сама, так и принимая патчи от пользователей. Каждый патч, естественно, проверяется. В какой-то момент, незадолго до выпуска очередной версии Убунту, команда Убунту (Canonical а точнее, чувак, который в этой команде отвечает за браузер firefox, берет последнюю стабильную версию firefox от Mozilla Corp. Далее он до самого выхода версии Ubuntu следит за всеми bugfix- и security-патчами (как пришедшими на адрес самой убунты, так и пришедшими в Mozilla) и принимает решение о том, добавлять ли их в свой пакет. После выхода новой версии убунты в пакет firefox добавляются только Security-патчи от производителя (то есть от Mozilla corp которой убунта доверяет по умолчанию. Одновременно с этим весь процесс начинается заново, только уже для следующей версии убунты.
То же самое происходит и с SIM, только Maintainer-ом уже является не корпорация, а несколько разработчиков. Один из них заодно является ответственным за пакет SIM в Убунту. Он сам вносит изменения в код SIM, поэтому он точно знает, что там нет никакого вредоносного кода, ведь все полученные патчи (по почте, в списках рассылки или в bugtracking-системе) он проверяет.
Так что нет такого, что каждый день кто-то один просматривает 15 тысяч строк кода.
Дело в том, что в итоге исходный код любой программы, входящей в дистрибутив, просматривает несколько человек. И в этом случае гораздо сложнее скрыть вирус, чем в случае с виндой. Понятно, что ничего принципиально невозможного нет. Просто усилия слишком велики по сравнению с виндой, как уже сказали, а результат плохо предсказуем.
Я не про конкретную реализацию. А вот про что:
Если преполагается принимать что-то извне, то надо слушать порт. Слушать порт незаметно не получится, значит надо добавлять бекдоры в серверные приложения. А серверные приложения запускаются под пользователем с очень урезанными правами - это просто принято так, что например postfix автоматически запускается под пользователем postfix.
Если предполагается куда-то лезть самому - то просто так лезть не получится - это тут же пропалено будет. Поэтому надо внедрять уязвимости в программы, которые по просьбе юзера куда-то коннектятся. А эти приложения опять же запускаются во всех популярных дистрах под ограниченной учеткой. Максимум ты сможешь сделать - убить пользовательскую директорию или поменять настройки других программ пользовательского уровня.
Можно попробовать написать какой-нибудь драйвер с уязвимостью и попытаться закоммитить его непосредственно в Linux. Из ядра-то у тебя будет полный доступ к системе.
Если преполагается принимать что-то извне, то надо слушать порт. Слушать порт незаметно не получится, значит надо добавлять бекдоры в серверные приложения. А серверные приложения запускаются под пользователем с очень урезанными правами - это просто принято так, что например postfix автоматически запускается под пользователем postfix.
Если предполагается куда-то лезть самому - то просто так лезть не получится - это тут же пропалено будет. Поэтому надо внедрять уязвимости в программы, которые по просьбе юзера куда-то коннектятся. А эти приложения опять же запускаются во всех популярных дистрах под ограниченной учеткой. Максимум ты сможешь сделать - убить пользовательскую директорию или поменять настройки других программ пользовательского уровня.
Можно попробовать написать какой-нибудь драйвер с уязвимостью и попытаться закоммитить его непосредственно в Linux. Из ядра-то у тебя будет полный доступ к системе.
Максимум ты сможешь сделать - убить пользовательскую директорию или поменять настройки других программ пользовательского уровня.Ну эксплойты ядра еще не отменяли...
Я вообще-то про это ниже и написал.
Не про это, я говорю про подъем привилегий с юзера до рута. Кстати как получается, что в ядре, в код которого втыкают побольше народу, чем в приложение Васи Пупкина, образуются такие вот дыры?
Эти дыры очень быстро фиксятся. Поэтому можно расчитывать только на тех, кто не обновляется.
Не знаю как в других лузер-френдли дистрибутивах, я из них только opensuse пробовал, но в нем по дефолту обновления ко всем установленным программам в том числе к ядру качаются автоматически.
Не знаю как в других лузер-френдли дистрибутивах, я из них только opensuse пробовал, но в нем по дефолту обновления ко всем установленным программам в том числе к ядру качаются автоматически.
Ну насчет очень быстро фиксятся хз. Диапазоны рабочих ядер для уязвимостей весьма широки бывают.
Вот пара примеров
Опять же в пререлизе 2.6.29 сеть через полчаса отваливается
Вот пара примеров
Version: 2.2 all versions, 2.4 up to and including 2.4.29-pre3, 2.6 up
to and including 2.6.10
* Linux vmsplice Local Root Exploit
* By qaaz
*
* Linux 2.6.17 - 2.6.24.1
Опять же в пререлизе 2.6.29 сеть через полчаса отваливается
Дело-то не в диапазоне, а в том как скоро вышел Linux с исправленной уязвимостью и ее включили в обновления создатели дистров.
Дело-то не в диапазоне, а в том как скоро вышел Linux с исправленной уязвимостью и ее включили в обновления создатели дистров.Как это не в диапазоне? Именно диапазон показывает как долго может незаметно существовать дыра в ядре. И благодаря открытым сорцам она хорошо видна потенциальному злоумышленнику и если он не совсем дурак, он не будет трубить о ней всему гну сообществу. Может еще слабые ключи дебиана припомнить? Я вообще к тому говорю, что даже если тысяча-другая людей будет втыкать в код это совершенно не гарантирует, что в нем найдут уязвимость. Смотрим в книгу - видим фигу.
Я вообще к тому говорю, что даже если тысяча-другая людей будет втыкать в код это совершенно не гарантирует, что в нем найдут уязвимость. Смотрим в книгу - видим фигу.Зато закрытость кода практически гарантирует, что её не найдут. А ненайденная уязвимость гораздо опаснее найденной и исправленной.
А, ну если сам злоумышленник нашел уязвимость, то это конечно меняет дело. Но тогда ему должно повезти больше чем всем тем, кто читает код линукса.
Я-то рассматривал вариант, когда хочется использовать известную уязвимость.
Я-то рассматривал вариант, когда хочется использовать известную уязвимость.
Зато закрытость кода практически гарантирует, что её не найдут.Ну это совсем не факт :F
имелось ввиду, что закрытость практически гарантирует, что уязвимость не найдут разработчики. При этом вероятность ее нахождения злоумышлениками не сильно падает.
Ну тогда надо ловить момент когда обнаружат дыру в ядре потенциальной жертвы и сразу ломать
имелось ввиду, что закрытость практически гарантирует, что уязвимость не найдут разработчики. При этом вероятность ее нахождения злоумышлениками не сильно падает.Как раз разработчикам никто не мешает найти дыру, им-то код доступен =)
А вот копаться в ассемблере да еще и с какой-нить иппанутой защитой, то еще развлекалово
Скорее, не разработчики, а команды хакеров-энтузиастов, которые находят уязвимости, делают эксплойт и отсылают его разработчикам, причём часто сразу с патчем, устраняющим уязвимость.
Вот поэтому и важно время между публикацией уязвимости и появлением исправления в репозиториях. Для постоянно обновляющейся системы - это и есть время подверженности таким вирусам.
Просто фишка в том, что в этом случае разработчиков много меньше, чем потенциальных злоумышленников.
А если код открыт, то тех, кто тут же сообщит разработчикам об уязвимости как найдет много больше, чем злоумышленников.
А если код открыт, то тех, кто тут же сообщит разработчикам об уязвимости как найдет много больше, чем злоумышленников.
Скорее, не разработчики, а команды хакеров-энтузиастовЯ говорил про закрытый код. Там именно разработчики и больше никто.
Я говорил про закрытый код. Там именно разработчики и больше никто.Все уязвимости винды, значит, были найдены и заюзаны ее разработчиками.
А вот за это пацану уже можно реально предъявить (с)
Вот поэтому и важно время между публикацией уязвимости и появлением исправления в репозиториях. Для постоянно обновляющейся системы - это и есть время подверженности таким вирусам.Если атаковать целенаправленно, то и 15 минут хватит, а других атак на линуксы не особо есть смысл делать
Все уязвимости винды, значит, были найдены и заюзаны ее разработчиками.Что это за бред?
Заюзаны для целей исправления уязвимостей. Только искать им уязвимости для этих целей приходится самостоятельно. Никто им патч не пришлет.
Мы говорим об одном и том же, просто по-разному.
Смотри: вероятность нахождения уязвимости в коде самими разработчиками одинакова вне зависимости от того, открыт код или закрыт для пользователей, потому что для разработчиков он по-любому открыт.
Вероятность нахождения уязвимости кем-то ещё в случае открытого кода заметно выше.
Однако среди тех, кто специально ищет уязвимости в открытом коде, гораздо больший процент тех, кто делает это ради того, чтобы уязвимость исправить. Тогда как среди тех, кто ищет уязвимости в закрытом коде, основную массу составляют те, кто хочет эти уязвимости использовать. Хотя бы потому, что количество уродов-взломщиков одинаково в обоих случаях, зато в случае открытого кода есть добросовестные пользователи в комьюнити продукта, есть независимые аудиторские конторы, есть просто энтузиасты, которым в кайф найти уязвимость, продемонстрировать и исправить.
Смотри: вероятность нахождения уязвимости в коде самими разработчиками одинакова вне зависимости от того, открыт код или закрыт для пользователей, потому что для разработчиков он по-любому открыт.
Вероятность нахождения уязвимости кем-то ещё в случае открытого кода заметно выше.
Однако среди тех, кто специально ищет уязвимости в открытом коде, гораздо больший процент тех, кто делает это ради того, чтобы уязвимость исправить. Тогда как среди тех, кто ищет уязвимости в закрытом коде, основную массу составляют те, кто хочет эти уязвимости использовать. Хотя бы потому, что количество уродов-взломщиков одинаково в обоих случаях, зато в случае открытого кода есть добросовестные пользователи в комьюнити продукта, есть независимые аудиторские конторы, есть просто энтузиасты, которым в кайф найти уязвимость, продемонстрировать и исправить.
Заюзаны для целей исправления уязвимостей. Только искать им уязвимости для этих целей приходится самостоятельно. Никто им патч не пришлет.Патч да, но что, они всегда находили уязвимости ДО их первого заюзанья?
Я к тому, что перед тем как исправить ошибку ее еще надо найти, а тут поиском занимаются не только авторы закрытого продукта, как косвенно утверждал ты. В общем все нормально =)
Тут был разговор про именно массовое поражение вирусами.
Тут был разговор про именно массовое поражение вирусами.Для этого нужно иметь по меньшей мере массовую систему. =) А если ты внедрил свое приложение от Васи Пупкина с уязвимостью на n-ое количество компов, то у тебя уже есть таргет-группа для атаки. Вполне себе и целенаправленно и массово.
вероятность нахождения уязвимости в коде самими разработчиками одинакова вне зависимости от того, открыт код или закрыт для пользователей, потому что для разработчиков он по-любому открыт.Не совсем так.... у Linux много больше разработчиков, т.к. можно писать раз в месяц по выходным кому угодно. А у ядра NT их число строго ограничено определенным подразделением MS. Да и наверняка доступ ко всему коду ядра есть у еще более узкого круга людей, чем все разработчики - иначе высока опасность утечки.
Ну массовость системы я думаю в этом контексте лучше не рассматривать. То есть для оценки эффективности действий вирусописателя при соотношении, скажем, 1:100 каждый пораженный комп с GNU/Linux приравнивать к 100 пораженным с Windows. Ну то есть брать именно долю пораженных среди всех компов с данной системой.
У каждого пакета есть свой собственный upstream-maintainer.т.е. получается 15 тыс. maintainer-ов?
и все они должны быть самоотверженными, знающими, честными и т.д. людьми
я правильно понимаю?
на длительных сроках у open source-а - есть такая проблема, как потеря энтузиазма у основного разработчика.
и те кто придут им на смену - тоже должны быть "хорошими".
ps
и все это все равно не устраняет проблему, что программа скаченного из левого места не будет иметь вирусов и т.д.
и все это все равно не устраняет проблему, что программа скаченного из левого места не будет иметь вирусов и т.д.тебе же рассказали, что _нет_ необходимости что-то качать из _левых_ мест, да еще в бинарниках - в отличие от винды, где большенство юзеров по крайней мере рунета качают все именно из левых мест - с кряками, кейгенами, патчами и тому подобной шнягой.
на длительных сроках у open source-а - есть такая проблема, как потеря энтузиазма у основного разработчика.
и те кто придут им на смену - тоже должны быть "хорошими".
во-первых, очень спорное утверждение. во-вторых, "плохие" на смену просто не придут.
т.е. получается 15 тыс. maintainer-ов? и все они должны быть самоотверженными, знающими, честными и т.д. людьмиНет, маинтейнеров всё же меньше. Например у Гнома и КДЕ по десятку майнтейнеров, а пакетов там около сотни.
Помнится, несколько лет назад ты уже утверждал, что закоммитить бэкдор в линукс ядро можно и нетрудно, на что тебе возражали.
Помнится, несколько лет назад ты уже утверждал, что закоммитить бэкдор в линукс ядро можно и нетрудно, на что тебе возражали.Тысяч за 100 зеленых на спор - без проблем такое бы провернул.
Тысяч за 100 зеленых на спор - без проблем такое бы провернул.Менее заоблачную сумму предлагай, поспорю.
Это ты так оцениваешь свою репутацию ?
Ядро линукс, кстати, не сферическая-в-вакууме опенсорс программа, так что предположения об угасающем интересе разработчиков для неё тоже не совсем верны.
Ядро линукс, кстати, не сферическая-в-вакууме опенсорс программа, так что предположения об угасающем интересе разработчиков для неё тоже не совсем верны.
Ядро линукс, кстати, не сферическая-в-вакууме опенсорс программа, так что предположения об угасающем интересе разработчиков для неё тоже не совсем верны.15 тыс пакетов - это совсем не ядро линукса.
Попробуй найти заинтересованного инвестора, объясни ему эконмическую выгоду.
Это ты так оцениваешь свою репутацию ?это я так оцениваю свое время при работе по неинтересным для меня направлениям
это я так оцениваю свое времяТы не как работу взять предлагал, а спор, соответственно, нужны гарантии, что в случае провала ты сможешь рассчитаться в определенный срок.
Ты не как работу взять предлагал, а спор, соответственно, нужны гарантии, что в случае провала ты сможешь рассчитаться в определенный срок.не боись, за пару-тройку лет рассчитаюсь
за какой срок ты можешь это сделать?
за год?
причём нужна реально эксплуатируемая уязвимость.
причём, поспоривший с тобой человек, наймёт пару человек следить за коммитами всех новых людей (очевидно, ты не будешь собственным именем подписываться) в ключевые области.
за 100.000 в год можно нанять десяток высококлассных специалистов. враг не пройдёт.
То есть единственная реальная возможность - на свои средства тихо разработать дырку, а потом её продавать. покупатели найдутся.
за год?
причём нужна реально эксплуатируемая уязвимость.
причём, поспоривший с тобой человек, наймёт пару человек следить за коммитами всех новых людей (очевидно, ты не будешь собственным именем подписываться) в ключевые области.
за 100.000 в год можно нанять десяток высококлассных специалистов. враг не пройдёт.
То есть единственная реальная возможность - на свои средства тихо разработать дырку, а потом её продавать. покупатели найдутся.
как-то так
не боись, за пару-тройку лет рассчитаюсьЛишние три штуки в месяц в течении трех лет — это круто, завидую.
Да, про проценты не слышал?
Это я просто размышляю, на какие суммы стоит спорить =)
А ведь кстати "нетрудно" как раз означало, что это не будет стоит 10^5.
Никто не спорит с возможностью такого. но ты попробуй обосновать экономическую целесообразность.
За 10-100 миллионов я могу всех твоих врагов отправить на Луну. Но кто согласится платить?
Никто не спорит с возможностью такого. но ты попробуй обосновать экономическую целесообразность.
За 10-100 миллионов я могу всех твоих врагов отправить на Луну. Но кто согласится платить?
Эта ж мля, суккка, какой я баклан. Впервые в жизни ввязался в холивар. Раньше тема по-другому называлась. Так не годится, сразу не предупреждали =)
всё когда-то делаешь впервые
за бабки ещё более просто венду заложить бекдорами - там даже теоретической возможности широкого контроля нет. Достаточно подкупить проверяющего.
в ядре Linux есть код на php?
Так не годитьсястыдно.
в ядре Linux есть код на php?надо переписать на хаскеле, тогда точно ошибок не будет
надо переписать на хаскеле, тогда точно ошибок не будетлинупс этого не одобрит, он даже переходить на c++ не хочет. Можно подать идею ребятам из hurd development team - вдруг они решатся её реализовть
чо за проблемы?
не читал тред, но могу предложить настроить автообновление и оставить её работать, больше ничего не делать.
через некоторое время виста сама умрёт
дай человеку возможность свободного выбора
не читал тред, но могу предложить настроить автообновление и оставить её работать, больше ничего не делать.
через некоторое время виста сама умрёт
дай человеку возможность свободного выбора
но могу предложить настроить автообновление и оставить её работать, больше ничего не делать.
через некоторое время виста сама умрёт
могу предложить настроить автообновление и оставить её работать, больше ничего не делать.У меня не умирает, ЧЯДНТ?
через некоторое время виста сама умрёт
Ничего, это ненадолго.
Оставить комментарий
YUAL
есть доступ к диску на котором стоит виста. надо на нём что-то быстренько поправить чтоб виста работала но пользоваться ей стало не возможно. например умер звук или сеть.система не запущенна так что лезть и править можно что угодно.