Ubuntu Security Essentials

[emmsarris]

Άντε πάλι να τα ξαναλέμε:Οι ιοί του linux δεν λειτουργούν όπως οι ιοί στα Windows. Είναι θέμα αρχιτεκτονικής λογισμικού και όχι επειδή δεν έχει διάδοση! Ίσα ίσα που χρησιμοποιείται σε firewall, router, κινητά, τηλεοράσεις....Μπορεί να μην έχει διάδοση σε υπολογιστές, αλλά έχει κυριαρχήσει σε άλλες συσκευές όπου βέβαια θα γινόταν μεγαλύτερη ζημιά (φαντάσου να έπιανε ιό η 1500 ευρώ plasma τηλεόρασή σου επειδή χρησιμοποίησες υπηρεσίες internet, ή το router σου που σε συνδέει στο internet). Πρέπει να θες να σε μολύνουν, δηλαδή να τον βάλεις εσύ στο σύστημά σου. Επίσης ένας ιός για μια διανομή δεν είναι σίγουρο ότι μπορεί να προσβάλλει μια άλλη. Ένας ιός για Windows δεν μπορεί να κάνει τίποτα στο linux. Όσο για "ενημερωμένη βάση δεδομένων για ιούς στο linux" τσέκαρέ τις να δεις πόοοοτε ενημερώθηκαν!!! Επίσης το ubuntu από προεπιλογή δεν έχει ανοικτές θύρες! Γιατί να βάλεις firewall?

[Guybrush]

Application Firewall έχει άλλο ρόλο απο Network Firewall, να σταματά προγράμματα να κάνουν "phone home" το οποίο γίνεται και από client-side application, το οποίο δεν ακούει σε κάποιο port. το ότι δεν έχει ανοικτά ports, το μόνο που σημαίνει είναι ότι δεν κινδυνεύει ο χρήστης από exploits τύπου remote buffer overflow, αλλά δεν καλύπτει το "phone home" scenario.

Τα περί αρχιτεκτονικής επίσης δεν είναι ακριβή. To Linux έχει loadable kernel modules, τα Windows με το ddk api (drivers) επίσης έχουν kernel level loadable programs, και τα δύο έχουν filesystem permissions , και τα δύο έχουν permissions στα processes.Τα δύο περιβάλλοντα είναι εξίσου ασφαλή από πλευράς αρχιτεκτονικής δεν είμαστε στα 90s όπου τα windows γενιάς 9χ είχαν πράγματι κακή, από πλευράς ασφάλειας, αρχιτεκτονική. Πέραν του ίδιου του OS βέβαια υπάρχει spyware από απλό browsing, Java security vulnerabilities κλπ κλπ, τέτοιου τύπου vulnerabilities υπάρχουν σε όλα τα platforms, ακόμα και όπως λες να ήτανε, που δεν είναι, αυτά πάλι υπάρχουν.

Αλλά όπως είπα, δε με ενδιαφέρει να αναλύσω ή να πείσω αν είναι έτσι ή όχι, talk is cheap. Το να τρέχουν οι υπολογιστές ένα Security Suite που υλοποιεί το Trustworthy computing standard είναι industry standard, δεν είναι θέμα προσωπικών απόψεων. Οποιοσδήποτε έχει ένα λαπτοπ και θέλει να μπορεί να το συνδέσει σε εταιρικό δίκτυο που εφαρμόζει τα industry standards οφείλει να το έχει.

Δεδομένο λοιπόν ότι είναι industry standard, μπορούμε να επανατοποθετήσουμε τη συζήτηση στο ίδιο το τόπικ, τι software products υπάρχουν σε Linux side που να εκτελούν αυτές τις λειτουργίες και να αφησουμε τα security tutorial? Συγκεκριμένα software solutions για συγκεκριμένα tasks θέλω να δω, εάν τα tasks χρειάζονται ή όχι, επετρεψέ μου να το κρίνω εγώ ή τουλάχιστον δέξου ότι είναι industry standard.

[Clouzo]

Επειδή θα ήθελα να μάθω αυτό που λές είναι θέμα πιστοποίησης ???όπως πχ για να είναι πιστοποιημένο από το κράτος με iSO και να κάνει ένας ιδιότης μια υλοποίηση σε ένα δίκτυο πρέπει να έχει στο rack οπωσδήποτε patch panel?(σορύ αν κατάλαβα λάθος το Industry Standar)

[Guybrush]

Επειδή θα ήθελα να μάθω αυτό που λές είναι θέμα πιστοποίησης ???όπως πχ για να είναι πιστοποιημένο από το κράτος με iSO και να κάνει ένας ιδιότης μια υλοποίηση σε ένα δίκτυο πρέπει να έχει στο rack οπωσδήποτε patch panel?(σορύ αν κατάλαβα λάθος το Industry Standar)

Δεν μιλάω για κρατική πιστοποίηση (certification), επίσης τα ISO που είναι στανταρντς, και όχι πιστοποιήσεις, είναι άλλη περίπτωση, τα ISO δημιουργούνται από το International Organization for Standardization, στο οποίο συμμετέχουν πολλά κράτη. Δεν είναι ο μόναδικός οργανισμός ή group που θέτει στανταρντς, είναι βέβαια ο πιο γνωστός.

Το να πληρεί ενας υπολογιστής το Trustworthy Computing λίγο πολύ σημαίνει να είναι ασφαλής και να μην κινδυνεύουν τα ιδιωτικά δεδομένα (τόσο απο spyware, όσο και από licensed εφαρμογές). Εάν π.χ. μία licensed εφαρμογή, κάνει phone home, χωρίς τη γνώση & άδεια του χρήστη (διόλου ασύνηθες), τότε το στανταρντ παραβιάζεται. Αυτό σε Linux μπορεί να γίνει π.χ. από proprietary applications, λογω έλλειψης OSS εφαρμογής αντίστοιχων δυνατοτήτων, χωρίς καν να έχει μπει "ιός" ή να χρησιμοποιηθεί άλλου τύπου vulnerability.

Τώρα καταλαβαίνω ότι για *αποκλειστικά* οικιακή/ερασιτεχνική χρήση κάποιος μπορεί να είναι "καλυμένος" απο το repository της Canonical και να μην του έχει τύχει κάποιο Java vulnerability όταν έκανε browsing, εξ' άλλου ένας τέτοιος υπολογιστής ούτως ή άλλως είναι ασυνίθιστο να αποτελεί επιθυμητό στόχο επιθέσεων,γι αυτό και δεν παρεξηγώ διαφορες απαντήσεις που διαβάζω. Όμως ότι σε ένα εταιρικό περιβάλλον ή κρατικό subcontractor όπου η ασφάλεια δεδομένων είναι πολύτιμη δεν νοείται να επαναπαύεται η ασφάλεια των δεδομένων σε καλή πίστη για το proprietary software και την εταιρια που το διαθέτει (π.χ. μπορεί να γίνει compromise αυτή η εταιρία), ούτε σε % marketshare ούτε στο μικρό αριθμό ιών ούτε στο αν ένας χρήστης θα μπει σε infected site όταν κάνει browsing. Για το λόγο αυτό είναι στανταρντ όλα τα συστήματα που συνδέονται στο δίκτυο της εταιρίας έχουν proactive security κοινώς application level firewall-antivirus-encryption. Π.χ. πολλοί χρήστες "αναγκάζονται" να παρακάμψουν τη home version των Windows γιατί πρέπει να έχουν το bitlock, ή όπως το λένε σε win, σε mac χρησιμοποιώ το Filevault, όπως συνιστά π.χ. το ίδιο το CERT.

Edit: δες και http://en.wikipedia.org/wiki/Trustworthy_Computing, από ότι φαίνεται ο κάθε οργανισμός χρησιμοποιεί δικές του μικροπαραλαγές του ορισμού για το εσωτερικό του στάνταρντ, πάντως λίγο πολύ οι απαιτήσεις που έχω συναντήσει είναι οι ίδιες σε πολλά διαφορετικά περιβάλλοντα.

[mathpoet]

Guybrush σε γενικές γραμμές συμφωνώ μαζί σου στα περί εγγενούς ασφάλειας του *nix και έκανα μια αντίστοιχη συζήτηση πρόσφατα. Δηλαδή ακόμα δεν έχω βρει την σοβαρή διαφορά στην ασφάλεια. Επειδή όμως ψάχνω ακόμα κάποια πράγματα, κρατάω μια επιφύλαξη. Ίσως έχω νεότερα σε λίγο καιρό...

Αλλά έχω μια απορία. Έχεις χρησιμοποιήσει κάποιο σύστημα το οποίο σου επιτρέπει να κάνεις ότι ο μέσος χρήστης (από facebook μέχρι...) και να είναι trusted; Προσωπικά δεν ξέρω να υπάρχει κάποιο. Σίγουρα πάντως δεν είναι τέτοιο το mac os ή το ms win.

Για το encryption που ρωτάς, υπάρχει αντίστοιχος μηχανισμός. Κατά την εγκατάσταση του ubuntu έχεις την επιλογή να χρησιμοποιείς κρυπτογραφημένο σύστημα αρχείων. Δεν έχω ψάξει πως και αν ενεργοποιείται μετά την εγκατάσταση.

Επίσης ρίξε μια ματιά στο SELinux http://en.wikipedia.org/wiki/Security-Enhanced_Linux

edit: ή εναλλακτικά το AppArmor http://ubuntuforums.org/showthread.php?t=1008906

[Guybrush]

Guybrush σε γενικές γραμμές συμφωνώ μαζί σου στα περί εγγενούς ασφάλειας του *nix και έκανα μια αντίστοιχη συζήτηση πρόσφατα. Δηλαδή ακόμα δεν έχω βρει την σοβαρή διαφορά στην ασφάλεια. Επειδή όμως ψάχνω ακόμα κάποια πράγματα, κρατάω μια επιφύλαξη. Ίσως έχω νεότερα σε λίγο καιρό...

Αλλά έχω μια απορία. Έχεις χρησιμοποιήσει κάποιο σύστημα το οποίο σου επιτρέπει να κάνεις ότι ο μέσος χρήστης (από facebook μέχρι...) και να είναι trusted; Προσωπικά δεν ξέρω να υπάρχει κάποιο. Σίγουρα πάντως δεν είναι τέτοιο το mac os ή το ms win.

Για το encryption που ρωτάς, υπάρχει αντίστοιχος μηχανισμός. Κατά την εγκατάσταση του ubuntu έχεις την επιλογή να χρησιμοποιείς κρυπτογραφημένο σύστημα αρχείων. Δεν έχω ψάξει πως και αν ενεργοποιείται μετά την εγκατάσταση.

Επίσης ρίξε μια ματιά στο SELinux http://en.wikipedia.org/wiki/Security-Enhanced_Linux

edit: ή εναλλακτικά το AppArmor http://ubuntuforums.org/showthread.php?t=100890

Συστημα που να ειναι 100% trusted, δεν είπα ότι είναι τα MS Win ούτε το OS X, ούτε και πιστεύω κάτι τέτοιο. Απλά αυτό που λέω είναι λίγο πολύ αυτό που είπες, ότι per se (εξαιρώντας επιπτώσεις του marketshare) πλέον έχουν και τα Windows και το OS X και το Linux παρόμοιας αξιοπιστίας default security models. Τα Windows πρόσφατα με το Security Essentials με εξέπληξαν ευχάριστα, καθ'ότι πήραν pro-active μέτρα, αλλά, σαν προσωπική άποψη, πιστεύω ότι αυτό κάνει phase out λόγω του market penetration, οπότε θα έλεγα ότι και τα τρία είναι στα ίδια επίπεδα.

Στα 90ς τα windows 9χ πράγματι ήταν άθλια σε σχέση με οποιοδήποτε *nix περιβάλλον, έτρεχε όλο το software από την πασιέτζα μέχρι τον kernel σε ring 0 prio, το filesystem (fat32) δεν είχε permissions κλπ κλπ. Η γενιά NT όμως που βασίστηκε στον πυρήνα του VMS, παρέχοντας API compatibility με τα πριοϊόντα 9x κατέληξε να είναι ισοδύναμη, τουλάχιστον επι της αρχής, καθότι το μεγάλο market share τα καθιστά πάντα πιο πιθανό στόχο.

Πέραν όμως του ιδανικού 100%, με application firewall, anti-virus με μεγάλο definitions database, Filevault encryption, τουλάχιστον πιέζει κάποιος την ασφάλεια όσο πιο κοντά στο 100% είναι εφικτό.

Ευχαριστώ πολύ για τα links!, θα τα κοιτάξω απο Κυριακή μιας και έχω μία πτήση αύριο. Μήπως εάν δε σου είναι κόπος μπορείς να μου πεις πως λέγεται η εφαρμογή/extension/whatever για encryption του Ubuntu (τον "παλιο καιρό" χρησιμοποιούσα encrypted swap file καθώς και truecrypt σε Linux, αλλά το Filevault του OS X είναι λιγο διαφορετικό)?

Μίας και το μου ήρθε τώρα, ένα καλό security tool, αλλά καθόλου πρακτικο δυστυχώς, είναι να κάνει κάποιος boot με usb stick και να ελέγχει με το tripwire (http://sourceforge.net/projects/tripwire/) τα hashes των αρχείων του. Πολύ δύσκολο να γίνει maintain όμως αυτή η πληροφορία, ειδικά αυτές τις ημέρες όπου τα patches είναι συχνά. Προσωπικά το θεωρώ τον κόπο που απαιτεί κάπως υπερβολικό και δεν το χρησιμοποιώ μιάς και επιδέχεται λίγο automation σε αντίθεση με ένα antivirus, application firewall κλπ.

[mathpoet]

Αν δεν κάνω λάθος, τo ubuntu χρησιμοποιεί το eCryptfs. Εδώ βρήκα μια ωραία περιγραφή για τον όλο μηχανισμό στην 9.10: http://www.linux-mag.com/cache/7568/1.html

Η microsoft έχει κάνει πολλά λάθη σε σχέση με την ασφάλεια. Όπως έκαναν και κάνουν ακόμα, πολλές εταιρείες που χρησιμοποίησαν κλειστούς (δικούς τους) μηχανισμούς ασφάλειας. Διάβασε ένα κλασικό κείμενο του γκουρού Bruce Schneier για τη σημασία του ανοιχτού λογισμικού (και αλγορίθμων) στην ασφάλεια:
http://www.schneier.com/crypto-gram-990 ... ndSecurity

Και δεν είναι τα λάθη μόνο στα windows. Το outlook και το office γενικά έχει καταστρέψει όλο τον κόσμο με τους μακροϊούς κλπ. Επίσης ο internet explorer έχει μεγάλη ιστορία ανασφάλειας. Ελπίζω ότι βελτιώνεται, αλλά δεν είμαι και τόσο σίγουρος για το αποτέλεσμα. Το UAC ας πούμε είναι ένα καλό παράδειγμα στις σύγχρονες εκδόσεις. Δεν πιστεύω ότι έχουν καταφέρει με αυτό κάτι παραπάνω από το να εκνευρίζουν τους χρήστες. Οι οποίοι φυσικά στο τέλος το απενεργοποιούν.

[Clouzo]

GuyBrush τσέκαρε το λινκ https://security.wiki.kernel.org/index.php/LinuxSecuritySummit2010

[atermon]

Τσέκαρε στο τέλος του κειμένου της Wikipedia που παραπέμπεις http://en.wikipedia.org/wiki/Trustworthy_Computing το σύνδεσμο:
Categories: Microsoft initiatives
Λύσε μου επίσης την απορία για το αν έχεις πρόσβαση στον πυρήνα των windows. Άκουσα ότι κάποιες κυβερνήσεις που τα ακουμπήσανε στη Microsoft έχουν. Ισχύει;

[Guybrush]

Απανταω πολύ σύντομα, λόγω έλλειψης χρόνου.

@ mathpoet, το πως το open source επηρεάζει την ασφάλεια, γενικά θεωρείται ζήτημα under debate. Υπάρχουν θετικά σε μια εφαρμογή open source όπως και σε μια closed source. Προσωπικά προτιμώ τις open source λύσεις όταν είναι εφάμιλης ποιότητας με της εμπορικές, αλλά είναι καθαρά προσωπική επιλογή, όχι αντικειμενική. Όσον αφορά την MS ναι φυσικά και έχει κάνει λάθη, ειδικά στο παρελθόν, τον τελευταίο καιρό όμως τα standards που έχει θέσει είναι πολύ καλά.

Το eCryptfs, φαίνεται εκ πρώτης όψεως να κάνει ότι κάνει και το FileVault, θα κοιτάξω πιο αναλυτικά όλα τα features, αλλά δείχνει promising.

Μακροιοί μπορούν να κατασκευαστούν για οποιαδήποτε εφαρμογή υποστηρίζει scripts, και για το OpenOffice έχουν κατασκαυαστεί, απλά το MS Office, λόγω market share έχει περισσότερους.

@ Clouzo, ευχαριστώ για το λινκ! 8α το κοιτάξω μόλις αλαφρύνει κάπως η δουλειά.

@ atermon, ναι η Microsoft έχει υποχρεωθεί από ορισμένες κυβερνήσεις (π.χ. Κίνα) να τους δείξει τον κώδικα, τουλάχιστον τμήματα, των Windows.

Για vulnerabilities που είναι cross platform, ένα πρόσφατο παράδειγμα flash & acrobat reader έγιναν χθες disclose από την ίδια την Adobe, http://www.guardian.co.uk/technology/blog/2010/jun/07/adobe-warns-flash-security-flaw. All platforms are vulnerable, versions for Windows, Macintosh, Linux and Solaris. Ένα security suite είναι απαραίτητο παντού και πραγματικά χρήσιμο ανεξαρτήτως πλατφόρμας, δεν είναι σωστό να λέγεται ότι υπάρχουν invulnerable platforms και δεν πιστεύω ότι ανακριβείς πληροφορίες βοηθούν τη διάδοση εναλακτικών OS, είτε αυτό είναι OS X είτε Linux.