Bezpieczeństwo systemu Linux

[morfik]

0

@mati75 -- wygląda na to, że wszystko jest OK z tym yt-dlp na GH.

@sr-ol -- ruch przez VPN to tylko podmiana adresów i zmiana routingu -- po prostu dodatkowa wirtualna pętla dla pakietów, tak by je zaszyfrować i w dodatkowe nagłówki opakować przed wysłaniem w świat. Ale to nic nie zmienia w kwestii bezpieczeństwa, bo jak odwiedzisz zasyfioną stronę w necie przez VPN, to pakiety i tak powędrują na twój komp i tyle z "bezpiecznego przeglądania internetu przez VPN"

Ja bym powiedział nawet więcej, że czasami korzystanie z VPN może nieść ze sobą pewne dodatkowe zagrożenia. Jakie? No takie jak we władcy pierścieni i tymi czarodziejskimi kulkami zwanymi palantir , tj. nigdy nie wiesz, kto do takiego VPN się podłączy. Ja u siebie widziałem w logu całą masę prób nawiązywania nowych połączeń z moją maszyną pochodzących z sieci takiego free VPN. Obecnie korzystam z proton'a (też free) ale tutaj takich ciekawostek nie obserwuję. Tak czy inaczej, na wszelki wypadek dopisałem sobie coś na wzór:

Kod:

table inet filter {
    chain INPUT {
...
#        iifname "tun*" ct state { new } limit rate 30/minute burst 1 packets log prefix "* IPTABLES:TUN-NEW * " flags all counter
        iifname "tun*" ct state { new } counter drop
...

Do tego też można jeszcze dodać fakt, że jak masz FW swojego ISP, to on może zablokować pewne adresy IP znane z rozprzestrzeniania syfu i wtedy może cię uchronić przed połączeniem z takim serwerem. A jak wykorzystasz VPN, to efektywnie takiej ochrony jesteś pozbawiony. Tak wiem cenzura itp, ale jest np. taki projekt NASK, który dla zwykłego kowalskiego może być dość pożyteczny.

No i taki przykład z VPN też pokazuje, że kij ma dwa końce oraz, że jednym i drugim końcem takiego kija można się w oko dziabnąć.

[omkar]

0

Istotą jest nie pobieranie programów oraz plików z nieznanych źródeł, a w szczególności otwieranie ich poza wirtualnym środowiskiem (Virtualbox) lub przynajmniej przed skanowaniu na VirusTotal. Jeżeli lubimy surfować bez ograniczeń, to najlepiej otwierać przeglądarkę w piaskownicy. Te wskazówki dotyczą głównie Windowsa, gdzie zagrożeń jest dużo. W Linuksie bardzo trudno je napotkać, ale nie można tego wykluczyć.

Jeżeli ktoś z forumowiczów znajdzie wirusa pod Linuksa to proszę mi przesłać. Będę też wdzięczny za wskazanie lików do forów gdzie użytkownicy Linuksa piszą o zainfekowaniu systemu i proszą o pomoc. Linki do w niebezpiecznika czy innych artykułów mnie nie interesują. Namacalne fakty!

[morfik]

0

No tak serwis poświęcony bezpieczeństwu użytkowników (i ich systemów) w sieci odpada. Inne serwisy poświęcone bezpieczeństwu, np. nfsec również. Projekty pokroju LKRG, czy miejsca dla speców od bezpieczeństwa pokroju opennwall czy kernel hardening to samo. Podobnie przykład szalenie niebezpiecznego systemu, tj. androida, gdzie nawet binarkę root'a (su) z systemu wywalili, żeby użytkownicy byli bezpieczniejsi, gdzie nawet podejrzenie układu partycji już jest niemożliwe. O aferze z pegazusem (nie mylić z nintendo ) to chyba też można zapomnieć. Generalnie to co tu mogę więcej napisać? Jeśli fakty kłócą się z rzeczywistością to tym gorzej dla faktów. No efekt potwierdzenia robi swoje -- mój system jest bezpieczny bo... bo to linux, a linux jest bezpieczny No ja nie będę cię przekonywał, że jest inaczej, sporo ciekawych kwestii zostało już poruszonych (czy to w tym wątku, czy w tamtym podlinkowanym o FW), możesz zaakceptować ten nieprzyjemny fakt, a możesz i nie, to twój wybór.

[dedito]

0

Jako, że robi się wątek natury filozoficzno-religijnej i jesteśmy w hydpark to ja bym nawet przesłał taki plik "wirusa" ale to by wymagało ode mnie:
1. Wejścia na stronę zajmującą się tymi kwestiami.
2. Poświęcenia na to czasu.
3. Znalezienia na to chęci.
A, że ogólnie mi się nie chce to tego nie zrobię

[morfik]

0

Ja mogę tylko dodać jeszcze od siebie jedną rzecz, a konkretnie to pytanie -- co rozumiemy przez "zaufane źródło"? Czy to jest dev z ubuntu czy debiana, którego nigdy na oczy nie widzieliśmy i nawet nie wiedzieliśmy o jego istnieniu, do momentu przeczytania kilu liter w stosownym polu w wyniku apt cache...? Bo jeśli tak, to nie jest to zaufane źródło i nigdy takim nie powinno się dla nas stać.

Znów weźmy przykład androida, bo jest on wszędzie i każdy z niego korzysta. Każdy kto choć trochę siedzi na telefonie, prędzej czy później będzie chciał mieć na nim dostęp root (ten sam root, którego google pozbawiło androida, bo trza użytkownika chronić przed nim samym, a jak wiadomo jak użytkownik ma root, to syf się rozprzestrzenia). Powstał projekt Magisk, którego pewnie większość ludzi kojarzy, bo to on umożliwia root'owanie telefonu i uzyskiwanie praw admina. Jakiś czas temu dev'y Magiska zostały złowione przez google (zapłacili im i zatrudnili w google), no i od tego czasu są problemy związane z kwestią ukrywania przed google faktu, że ma się roota w telefonie, przez co nasz system nie przechodzi testów safetynet (sam rozwój Magiska, też dramatycznie został spowolniony).

Hajs korumpuje, a hajs absolutny korumpuje absolutnie wszystkie zaufane źródła, nawet te otwartoźródłowe

To może kolejny przykład -- youtube vanced. Pewnie też sporo ludzi o nim słyszało ale już ten projekt nie istnieje. Podobnie jak w przypadku Magisk'a, devy yt vanced zostały złowione przez google, tj. zatrudnione i opłacone ale musieli zlikwidować projekt. No projekt zniknął w zasadzie od razu po zatrudnieniu devów przez google, także łatwo poszło.

No to może jeszcze jeden przykład -- renomowany ROM LineageOS -- też słyszeliście o nim pewnie, że to opensource android bez syfu, bez google appsów może działać. No tylko jest jeden problem -- LineageOS w swoich kernelach wstawia frazę "linageos", czyli jak my na debianie mamy coś w stylu Linux ... 6.11.6... , to w Androidzie mamy coś na wzór Linux ... 6.11.6-lineageos... . Gdy urządzenia z dnia na dzień przestały przechodzić testy safetynet bez wprowadzania w tych urządzeniach jakichkolwiek zmian, zaczęto szukać przyczyny. No i znaleźli -- google od jakiegoś czasu banuje frazy custom ROM'ów obecne w kernelu, więc jak ktoś ma ROM LineageOS, to testów safetynet nie przejdzie. Ludzie pisali do devów LineageOS w tej sprawie, by wprowadzili poprawkę w procesie budowania kernela i usunęli tę frazę. Ale devy LineageOS odmówiły. Ciekawe dlaczego? it's a feature request, not a bugreport, which we don't take . No... No.

To może jeszcze inny przykład -- kiedyś były otwartoźródłowe aplikacje na fona spod znaku SimpleMobileTools. Te aplikacje były w pełni otwartoźródłowe, i osoby korzystające z repozytorium F-droid mogły mieć wersje premium za free (ci z google play musieli płacić jakąś tam symboliczną kwotę). Któregoś dnia, ktoś zauważył pewną anomalię, mianowicie, zamiast SimpleMobileTools, było chyba SimpleTools albo MobileTools przy tych aplikacjach w Google Play. Ale jak to, ktoś zapyta, atak? Nic bardziej mylnego. Dev tych aplikacji, który przez lata tworzył te otwartoźródłowe alternatywy dla przepchanych syfem "aplikacji głównego nurtu" , postanowił te aplikacje sprzedać firmie, która no będzie teraz user'om serwować reklamy, telemetrie i na nich zarabiać. W zasadzie, to wprowadzi z grubsza ten syf, z którym ten dev walczył. Dlaczego? No hajs chłopaki, firma mu zapłaciła trochę grosza i sprzedał jej te swoje apki. Nie było by afery, gdyby te appki nie miały wielu mln pobrań (galeria miała chyba 80mln) i gdyby nie odbyło się to za plecami użytkowników. Dev do końca robił dobrą minę i jak ktoś zauważył, że podmiot się po cichu zmienił w Google, to dev się przyznał. Tak wygląda uczciwość ludzi w świecie opensource, gdy w grę wchodzi hajs liczony w 7 cyferkowych kwotach. No i ludzie mieli prawo się wkurzyć, bo przecie słali PR na gicie, gonili za błędami, zgłaszali różne rzeczy (w tym i ja), a on ich po prostu przy pierwszej lepszej okazji wydymał i sprzedał (tak czuję się wydymany przez tego dev'a).

Takich przykładów można mnożyć w świecie opensource bez końca. Ludzie to tylko ludzie, a gdy w grę wchodzi szmal, nie licz, że nie zostaniesz sprzedany jak bydło na targu przez tych, których tak bardzo sobie cenisz jako zaufane źródła. Zawczasu się zabezpiecz, i nigdy nie mów, że jakiś projekt jest bezpieczny czy zaufany, tylko dlatego, że za nim stoi jakiś chłop co nosi koszulkę z pingwinem.

Poza tym wciąż pozostają inne kwestie związane z przesyłaniem plików przez sieć, np. załączniki w mailach z adresów, które wyglądają wiarygodnie, np. adresu twojego banku czy jakiejkolwiek instytucji/podmiotu, z która masz podpisaną umowę. Pod taki podmiot można się podszyć, czego dowodzą choćby wyglądające wiarygodnie adresy email -- kto z was patrzy w nagłówki email czy ten mail od banku, który otrzymaliśmy jest faktycznie od banku? Osobiście nie znam nikogo kto by to robił, poza samym sobą. A już taka weryfikacja uwali 99% ataków via mail i linux nie da nikomu więcej czy mniej w kwestii bezpieczeństwa, bo taką weryfikację nagłówków się przeprowadza na poziomie klienta pocztowego, a nie na poziomie systemu operacyjnego.

Ehh znów się rozpisałem ale ja to mogę o bezpieczeństwie gadać bez końca.

P.S.

Tak mi się jeszcze przypomniało? Pamiętacie skrypt forum phpBB modified by Przemo ? Tak to od tego backdora, zaimplementowanego na prośbę policji by walczyć ze starszymi panami lubiącymi młodszych osobników.

[mati75]

0

Dziwię się trochę morfikowi że próbuje ludzi czegoś nauczyć. Mi się już odechciało. Nikt z wchodzących tutaj nie będzie czytał naszych wypocin o bezpieczeństwie it.

Koledzy z tej branży nazywają takich ludzi mugolami. Jak taki osobnik dostanie 40 sekundowy filmik z tik toka to może zrozumie o czym tutaj piszemy.

Chociaż sam w to wątpie, patrząc ile osób poniżej 30 roku życia jest robioną metodą podobną do tej na wnuczka przy handlu online.

[morfik]

0

No bezpieczeństwo nie jest dla wszystkich ale czasem się trafi ktoś komu przeczytanie tego typu wątku i zawartych w nim informacji może pomóc w zrozumieniu pewnych rzeczy i sprawić, że taka osoba się trochę zastanowi nad tym co robi na kompie czy w sieci. Ja też nie umiałem linux'a na początku -- 15 lat temu na ubuntu nie potrafiłem nawet zainstalować paczki deb z operą i mnie wszyscy wyśmiali i powiedzieli, że ja to się na linux'a nie nadaję, po czym zainstalowałem debiana i tak siedzę na nim do dziś. 

Także ja zdaję sobie sprawę, że ogromniej większości ludzi (z tych co tutaj zajrzą) raczej nie przekonam do niczego, bo bezpieczeństwo jest jak opcja polityczna -- jeśli rozmawialiście kiedyś z kimś kto ma odmienne poglądy polityczne do waszych, to zapewne wiecie, że raczej nie da się takiej osoby (albo i was ) przekonać do zmiany zdania, nawet jeśli ta druga strona będzie podawać rzeczowe argumenty.

No na uczenie ludzi, to nie mam zbytnio czasu ale wskazać komuś drogę, którą może podążać to czemu nie -- mi też sporo ludzi taką drogę wskazywało przez te 15 lat (zwłaszcza na początku, choć i teraz też co poniektórzy potrafią mi zwoje mózgowe czasem wyprostować ), no i nie "nauczyłbym" się linux'a, gdyby nie te wszystkie osoby, choć ogromną część pracy to trzeba było odwalić samemu i mieć niespotykaną chęć osiągnięcia postawionego sobie celu -- no i mi się udało, teraz nie ma już paczki deb, której bym nie potrafił zainstalować.