[BSD] OFF: UNIX/Linux becsulet
Adam Szilveszter
adam at hif.hu
2004. Jan. 7., Sze, 09:39:15 CET
Potoczky Andras wrote:
> Sziasztok
>
> Bocs a nem szakmai indittatasu levelert, gondoltam megosztom az alabbi
> cimet azzal, akit erdekel es meg nem hallott rola:
>
> http://www.prog.hu/hirek/?nid=269
> (jelenleg ez a nyito oldal cikk a prog.hu-n)
<...>
Na akkor most, hogy a nagy heveskedesek es obligat "de mi akkor is
jobbak vagyunk" szovegek lementek, nezzunk egy kicsit jobban a dolog
moge. :-)
A Secunia (mint azt a security listak torzsolvasoi mar tudhatjak) nem ad
ki sajat advisory-kat (szep is lenne, ha ok egyedul ennyi lukat fedeztek
volna fel, ok lennenek a legelitebbek) hanem gyujti a masok altal
kiadottakata es statisztikakat csinal beloluk, mint pl ezt is. Ilyen
egyebkent minden evben van, es tenyleg csak azt mondja meg, hogy hany
advisory ment ki egy-egy termekrol. Az mas kerdes, hogy a statisztikak
olvasoi ezt mire hasznaljak fel. Pl egy bizonyos Mr. Ballmer
eloszeretettel szokta idezni oket. :-) Tehat szo sincs arrol, hogy a
termek mennyire biztonsagos.
Ha ezzel a szemmel nezzuk a dolgokat, akkor a kep a kovetkezo:
- Kilora a legtobb SA-t tenyleg a Debian adja ki (csak ma reggel kaptam
vagy 10-et), azert, mert ok (ismeretlen okbol) gyakran tobbet is kiadnak
egy-egy problemarol, es egyebkent is minden package minden verzioja
egy-egy potencialis SA. Mas kerdes, hogy emiatt az o advisory-jaik
valojaban inkabb csak tajekoztatok, mert a jelentett problemak egy jo
resze olyan, hogy "xy game-ben van egy buffer overflow, amivel sgid
games jogokat lehet szeezni es felulirni a highscore fajlt" ami azert
nem igazan komoly. (Mas kerdes, hogy mi szukseg van meg erre a rohejes
mechanizmusra, miota a regi fajta jatekok, mint pl DM, szepen lassan
megszuntek...) Ezert aki Debiant adminisztral, az ugyis tudja, hogy
ezeket ugy kell tekinteni, hogy "ha majd lesz idom akkor majd
lefrissitem az altalam is hasznalt csomagokat, a tobbi /dev/null" mert
tenyleg sok.
- A RedHat es az alapjan allo disztrok tenyleg a szoros 2. helyezettek,
ami joreszt annak tudhato be megint, hogy az RH kulon ad ki SA-t az
aktualis verziorol, es kulon (nem ritkan tobb menetben) az elozo, de meg
patchekkel tamogatott verziokhoz, mert azok kesobb keszulnek el. (Tehat
eloszor a 9.x aztan egy kulon mailban a 8.x es esetleg kulon a 7.x) A
tobbiek meg ugye epitenek a jo alapozasra es szepen gozerovel masoljak
az SA-kat.
Ha az RH es Deb SA-kat levonom, egy atlagos security lista (mint pl
bugtraq) forgalma 80%-al csokken. (Ha hozzaszamitom meg a szarmazekos
disztrokat is, pl Engarde, Immunix, Trustix, Turbo, Connectiva stb)
- A MDK es a SUSE szinten sok SA-t ad ki, bar legalabb annyival jobb,
hogy pl zold kameleoneknal legalabb egy darab SA-ban van az osszes
verziorol szolo info.
Ezeknek az oka mind az, hogy egy atlagos mai Linux disztro, let's face
it, rengeteg (egyesek szerint tul sok) csomagot tartalmaz. Ezeknek egy
jo resze mar a nagy szamok torvenye szerint is problemas lesz egy adott
evben, de ha ehhez meg hozzaszamitom, hogy a csomagokban levo szoftverek
minosege vadul ingadozik mondjuk egy OO es mondjuk egy "Elso editorom"
projekt szinvonala kozott, akkor a dolog meg erthetobb lesz. (ez
kulonosen hangsulyos a Debinannal, ahol a package maintainerek szinte
emberfeletti munkat vegeznek gyakran az eredeti szerzo helyett is, hogy
megmentsek az adott csomagot)
- A HP-UX es a Sol helyezese nagyjabol az elterjedtseguket tukrozi: meg
elegge gyakoriak ahhoz, hogy eloforduljanak mind tenyleges hasznalatban,
mind a crackerek es security researcherek leltaraban, amiert is meg
aktivan keresnek (es igy persze talalnak is) rajtuk hibakat. Pl
emlekszem tavaly volt egy csapat, akik kifejezetten HP-UX-ra alltak ra.
A regebbi verziok azert nem szerepelnek, mert azokhoz mar nem nagyon
adnak ki SA-t, meg ha csendben patchelik is oket a gyartok, mert
kereskedelmi Unix orszagban az a szabaly, hogy "kint van az uj major
verzio -> frissits iziben mert lejar a regihez a hivatalos support"
Ami a megfigyeloknek inkabb feltunhet, az az, hogy mar nem szerepel az
Irix, ami mind a hasznalatanak, mind a tamogatottsaganak a gyors
csokkenesere mutat. Az ujabb SGI advisoryk tenyleg egyre ritkabbak, es
egyre gyakrabban Linux targyuak.
A kereskedelmi Unixoknal inkabb az erdemes az emlitesre, hogy gyakran
ugyanazok a hibak bukkannak fel, amiket a "szabad" verzokban mar
kijavitottak, vagy azert, mert contrib cuccokbol ugyanazt hasznaljak
(bind, sendmail) vagy azert, mert a hiba gyokerei nagyon regiek. (Ne
feledjuk, hogy a unixot eredetileg egyaltalan nem biztonsagi
megfontolasok alapjan terveztek az csak kesobb jott) Ugyanakkor mind a
felbukkanas kesobb jellemzo (akar egy evvel is) mind pedig a javitasok
nagyon lassuak. (nem ritka a tobb honapos limbo, bar ebbol a szempontbol
a rekordot a listaban kesobb szereplo AIX tartja, amig ott valamibol
hivatalos APAR lesz, addigra kino a szakalla minden adminnak. Marpedig a
kereskedelmi rendszereket hasznalo helyeken gyakran szigoru a patching
policy is, hogy ti beta meg nem hivatalos fixeket a rendszerre feltenni
tilos, meg a ceg se ad hoza supportot...) Tehat nem mondhatni, hogy a
minoseg annyival jobb lenne arrafele, inkabb olyan erzese van az
embernek, hogy egy kisse el vannak maradva.
- Windows kontingens. A gyakorlatban elo is fordulo "komolyabb" Win
rendszerek elegge egyutt haladtak tavaly, ami nem meglepo, mert nem egy
olyan hiba volt (mindenki emelekezhet az ismertebb virusokra es
fergekre) ami valojaban a WinNT architektura hibaja volt, csak korabban
nem bukott ki. (ld RPC) Ennek az oka is a multban keresendo. Egyreszt a
Unix rendszerek is sokat szenvedtek az RPC hibaktol, masreszt az NT-t
eredetileg nem az Internetre terveztek, hanem kisvallalati fajl/nyomtato
kiszolgalonak. Ahhoz kepest nagyon messze jutottunk. A W2k helyzete
sajatos, mert ahhoz kepest, hogy mennyi helyen hasznaljak, kicsit mindig
"mostohagyerek" volt, sok ki nem javitott gyerekbetegsegel (ld pl IE6,
amit nem lehet ra telepiteni, csak az UI-t csereli le, a mag marad 5.x),
ami annak koszonheto, hogy az XP tul gyorsan jott utana, az NT-t pedig
"kozkivanatra" meg sokaig kellett javitgatni.
Ettol fuggetlenul bugok szempontjabol az NT egyre jobban "javulni" fog,
mivel kicsuszik a tamogatott keretbol, az XP fog romlani, ahogy a
hasznalat terjed (ok csak a Prot verziot merik) a 2k pedig meg evekig
"sztar" marad majd, mivel a kodbazisa elegge hasonlo az XP-hez ahhoz,
hogy egy csapassal ott is ki lehessen javitani a hibakat.
- FreeBSD es MacOS X: A FreeBSD alaprendszer sokkal jobban osszefogott,
mint egy Linux disztro, ezert kevesebb az SA, de igaz valoban, hogy az
elmult evben elegge sok hibat talaltak a rendszerben. Ez nem baj, mert
pl az 5.x fejlesztese soran elegge sok korabban elhanyagolt reszhez
nyultak hozza, es akkor ohatatlanul jonnek fel hibak. Meg mindig jobb,
mintha ugy veszik eszre (mint amire mar volt is pelda) hogy a
www.freebsd.org-ot defaceli valaki. A portokkal kapcsolatos SA-k szama
dramaian visszaesett, ami nyilvan azert van mert nincs ra energia.
Azokkal egutt mar valahol az RH regioiban lennenk.
A MacOS X kezdeti "serthetetlensegenek" mitosza gyorsan szertefoszlott,
ahogy kezd terjedni, ugy kiderul, hogy ott is csak vizzel foznek, sot, a
nem BSD vagy Darwin eredetu reszekrol lassan kiderul, hogy meg csak nem
is jol. A csili-vili interface meg a cool hardware sokaig elvarazsolta a
vilagot, de az elmult evben napvilagra kerult problemak reszben bizony
nyugtalanito kerdeseket vetnek fel az Apple-kod minosegevel kapcsolatban.
- Tru64 es AIX: kereskedelmi Unixok, de mar joval kevesebb helyen
hasznaljak es joval kevesebben ertenek hozza. Ezert kevesebb hibat is
talalnak benne.
- Win2003: Csak tavaly ev kozepen jelent meg egyaltalan, kevesen
hasznaljak meg, ezert nincs meg nagyon tapasztalat. Az ido donti majd
el, hogy mennyire lettek igazak az MS allitasai arrol, hogy komolyan
aldoztak a biztonsagra. Egy biztos: az NT-hez kepest eg es fold a kulonbseg.
- 2.4-es kernel kulon: Ez egy kis magyarazatot igenyel. Az elmult evben
elkezdodott egy olyan dicseretes trend, hogy a kifejezetten a kernelt
erinto problemakrol kulon is jottek ki SA-k, mert hogy az mindenhol
jelentkezett. Sajnos ez nem akadalyozta meg az osszes disztrot abban,
hogy kiadja a sajat SA-jat, ezert az SA inflacio folytatodott. Remelem
ennek ellenere, hogy a 2.6-os szerianal ez a trend folytatodik majd, es
a disztrok egyre inkabb csak erre fognak utalni ahelyett, hogy
jol-rosszul megismetelnek a leirtakat meg 15 peldanyban. 2003-ban a
Linux mar felnott rendszernek szamitott, a security researcherek nem
bantak mar vele kesztyus kezzel. A 2.4-es kernelbol igy sikerult nehany
sulyos bugot kiirtani, ami jo mert meg sokaig fogjak hasznalni
konzervativabb helyeken. A trend folytatodni fog, mert a Linux tudas
eygre jobban terjed, es ekozben a nagy disztrok mellett egyre tobb
Linux-appliance jelenik meg, amikben gyakran eloregedett vagy erosen
atirt kernelverziok vannak, felfedezesre vagy javitasra varo hibakkal.
- "na ne" kontingens (WinME, Win9X, MacOS 9): leven, hogy ezeket
hivatalosan sem tartjak uzleti celra alkalmasnak (es jogosan) ezert
igazabol nem torik ossze magukat az emberek, hogy hibakat keressenek
vagy javitsanak rajtuk. A Win95 hamarosan a vilag legbiztonsagosabb
rendszere lesz, mert mar egy darab SA sem lesz ra, javitasokrol nem
beszelve. A 98 ditto. Ami a MacOS 9-et illeti, az mar orokre meg fog
maradni egy granataltan virus es crack mentes zonanak, mert ugye egy kb
win3.x szintu oprencert feltorni nem igazan okoz orgazmust... odamegyek
a desginer hata moge oszt leutom egy megfagyott marharepaval... benn
vagyok! wooot! es most? ;-) Varhatolag hamarosan majd elokerulnek a
retro Mac fanatikusok, akik majd azt fogjak skandalni, hogy "bezzeg
regebben minden sokkal jobb volt, az meg igazi Apple rendszer volt, nem
ugy mint ez az uj unix szemet" :-)
- "olyan is van?" kontingens: Nagyon meg vagyok lepodve, hogy z/OS-re
egyaltalan volt valami :-) Ezek mar nem olyan cuccok, amik minden kezdo
kidie-nek lehetnek, akik meg jol ertenek hozza, azok nem keresnek rajtuk
exploitokat. A szakerto kozosseg gyakran nagyon zart, az ilyen cellal
erkezoknek ajtot mutatnak. Ld ezen a listan is, amikor valaki elveszett
VMS password recovery utan erdeklodott... ;-) de ez nem jelenti azt,
hogy nincsenek hibak! Inkabb azt lehet tanulmanyozni, hogy milyen
paradicsomi allapotok uralkodhattak mondjuk Unix korokben is regebben...
is igy konnyebb megerteni, hogy miert lett olyan a rendszer amilyen.
Vegul egy megjegyzes OpenBSD-hez. A fiuk durvan simliznek, ezt mar evek
ota tudjuk. A legtobb BSD-s SA oket is erinti, ennek ellenere
rendszerint melyen kussolnak rola, vagy legfeljebb annyit nyeffentenek,
hogy "nincs benne/nem aktiv a default installban" es ezzel el van
intezve. Aki nem nezi percenkent a ChangeLogot, az le van sz.... naluk.
Erdemes figyelni azt is, hogy a tobbi BSD-hez kepest milyen keves PR-juk
van (Problem Report) de nem azert, mert ilyen keves a hiba, hanem mert a
legtobb hibajelentes teljesen informaliasn megy a bugs@ listan, igy nem
marad nyoma. (Ilyen alapon persze a NetBSD kellene, hogy legyen a
kiraly, mert ott (mint emlekszunk ra) a "default install" az volt, hogy
a gep nem is jott fel multiuser modba, akkor pedig igazan nehez
megtamadni tavolrol. Szerencsere a NetBSD-s fiuk sokkal normalisabbak
ennel, es nem hiszik azt, hogy a kedvenc OS-uk korul tavpisilesi
versenyt kellene rendezni.) Latszik, hogy egyes helyeken a resztvevok
EQ-ja alul, a tesztoszteronszintje pedig felulmul egy egeszseges
erteket. De Theoeknal ez sem uj. Talan jo lenne, ha tobb normalis ember
kapcsolodna az open source projektekbe es tobb lany.
Osszesitve: Senkinek nincs oka azzal buszkelkedni, hogy az "o" rendszere
abszolut kiray. Azzal annal inkabb, ha oszinte es nyilt
informaciopolitika mellett is aranyosan keves hibat talaltak es amit
igen, azt gyorsan es profin ki is javitottak. Mert ez is szamit, hogy a
javitasok mennyire voltak valodiak es mennyire csak ragtapaszok, es hogy
mennyire bizonyultak helyesnek. Ja es meg valami, semmi sem veri azt,
amikor olyan emberek "vedelmeznek" leghangosabban egy-egy rendszert,
akik semmit sem tesznek erte, hanem csak hasznaljak. Hogy akkor mitol az
"oveke" az homalyos.
At my most beatiful:
Sz.
További információk a(z) BSD levelezőlistáról