Očekivao sam ovakav odgovor na svoj flejm i uopće nisam razočaran
No, kako ne bi bilo da ja samo flejmam i ne dajem doprinos raspravama (koje sve tjeraju vodu na svoj mlin), idem odgovoriti na sve nedavne postove u ovoj temi, secirati ih i vidjeti što je točno, a što nije.
Romano K je napisao/la:Na Windowsu koristim antivirus iz jednog jedinog razloga...tako da mi po defaultu ne dolaze obavijesti od win antivirusa kad nesto skidam i slicno jer su naporni, ne koristim zato da mi stoji i da me "čuva" od kojekakvih malware i virusa.
Nije li u tom slučaju Do not disturb bolja opcija? Nema li Windows granularnu kontrolu notifikacija? Nemam pojma, ne služim se Windowsom, ali malo guglanja kaže da ima drugih opcija (
https://www.ghacks.net/2017/03/27/disab ... indows-10/)
Romano K je napisao/la:To su penzionerske gluposti. Čovjek je sebi najbolji antivirus. Ako si dovoljno pametan znaš koje file-ove smijes skidati s neta i za to ti ne treba antivirus. A za linux nema potrebe instaliravati antivirus. Eventualno nekakav software tipa Ccleaner koji čisti svakakve cache itd, mada ni to ne koristim. Uglavnom, po samoj svrsi antivirusa, on ti ni na Windowsu ni na Linuxu ne treba. Ali, ako vec namjeravas instalirati antivirus, za win preporučam Avast jer on najmanje zauzima pozadinskog procesa i ima opciju "tihog" nacina rada.
Stay woke fam 
Tvoja izjava implicira da su pouzdani izvori uvijek pouzdani, ali to je daleko od istine. Transmissionova službena web stranica je dvaput bila distribuirala macOS malware Keydnap jer su serveri bili napadnuti:
https://transmissionbt.com/keydnap_qa/
Antivirusi su tu korisni jer prepoznaju malware i u naoko sigurnim fileovima, što čovjek baš i ne može.
Bunker je napisao/la:
Današnji malwer zna biti prilično napredan, i dosta ti je da u krivo vrijeme posjetiš krivu stranicu i problemi su tu. Mnoge poznate stranice i portali su danima bili izvor zaraze prije nego su uočili da nešto neštima.
I ništa ti nemoraš downloadati sa tih stranica, dosta je da ih posjetiš u to vrijeme.
Sve kaj se dešava na pc-u prodje kroz ram. Suvremeni malware će ti se učitati u ram samim posjetom siteu gdje je postavljen jer će ti se i cjeli sadrzaj stranice učitati u ram prije nego ju vidiš na ekranu. I tada taj suvremeni malware može manipulirati datotekama u ramu i zloupotrebiti ih na razne načine bez da uopće pristupi tvom disku ili dubljim procesima koje štiti os ili hardver.
Tada taj malware vidi kaj klikaš po tipkovnici, a vrlo lako dodje do tvoje kamere ili mikrofona ukoliko su browseru omogućene te radnje ...
Teško mi je napisati konstruktivan odgovor na nešto što je
toliko krivo. U kojem svijetu živiš da možeš preko javascripta dirati nečiju memoriju?
Dakle, web aplikacije pisane u JavaScriptu ne mogu (*1) pristupati RAM-u, već za pohranu stvari u memoriji koriste varijable, objekte i slične strukture podataka koje apstrahiraju memorijsku pohranu, što istovremeno doprinosi bržem razvoju i sigurnosti same memorije jer programeri nemaju direktan pristup memoriji. Kako nemaju, pitaš se? Jer to nije uopće implementirano. Masovno pojednostavljujem ovo, ne govorim o referencama i sličnim stvarima koje omogućuju neke stvari oko pristupa memoriji, ali bitno je da je iznad memorije uvijek barem jedan sloj apstrakcije.
Što je s WebAssemblyjem? Memorija koju WebAssembly aplikacije vide je zapravo JavaScript objekt i makar ona dopušta direktan pristup RAM-u, dopušta ga isključivo unutar alociranog buffera, nalik izolaciji koju pružaju operativni sustavi između aplikacija. Naravno, ovo ostavlja prostor za buffer exploit, no sigurnosne prakse svih većih preglednika su izuzetno dobre oko patchanja takvih exploitova i vjerujem kako je vjerojatnost da će netko to uspjeti (značajno) exploitati prije nego što budu patchane.
No iako su web aplikacije izolirane od pristupa cijelom RAM-u, pa ne mogu pristupati podacima u RAM-u (dakle, ne vide dalje od preglednika), postavlja se pitanje mogu li vidjeti sadržaj memorije drugih web aplikacija? Dakle, isti preglednik, druga stranica, drugi tab.
Ne mogu. Memorijska izolacija postoji i u tom kontekstu u preglednicima.
Za više informacija o tome kako web aplikacije pristupaju memoriji:
https://developer.mozilla.org/en-US/doc ... Management,
https://hacks.mozilla.org/2017/07/memor ... you-think/
Dakle, zaključak je da web preglednici štite memoriju, kao što to na nižoj razini čine i operativni sustavi
Vidi li web aplikacija što tipkamo po tipkovnici? Da, koristeći KeyboardEvent interface u JavaScriptu.
https://developer.mozilla.org/en-US/doc ... dEvent/key
Vidi li web aplikacija što tipkamo dok nam ona nije u fokusu? Apsolutno ne - KeyboardEventi se triggeraju samo za aktivnu karticu, samo dok je u fokusu. Dakle, web aplikaciji vidi da što tipkaš po njoj. Zamisli čuda.
Vidi li aplikacija našu kameru i mikrofon? Da, kroz HTML Media Capture, ali isključivo ako eksplicitno damo toj aplikaciji ovlast pristupa tim uređajima. Vidi i našu lokaciju, ali opet, isključivo ako eksplicitno damo toj aplikaciji ovlast pristupa lokaciji. Bez direktne ovlasti, taj pristup je blokiran.
Kako možemo biti sigurni da se stvarno ovlasti oko memorije, pristupa uređajima i lokaciji dobro reguliraju? Ne možemo nikada biti - netko možda nešto i previdi kod audita koda, ali vjerojatno je sigurno i još vjerojatnije, bit će zakrpano brzo ako i nije
Update i gg.
Bunker je napisao/la:Širenjem interneta na stvari ( tv, frizider, ...) ćemo se tek suočiti sa malwer pošastima jer su to podaci koji su vrijedni na crnom trzistu.
Šta je tu vrijedno žita mi slavonskog da gledam brooklyn 99 i black mirror pet sati u komadu pa da se počastim jeftinim pudingom iz menze
Ne razlikuješ malware od napada baš
Malware, za svrhe ove rasprave, nije kad ti netko pošalje na server/IoT uređaj tako konstruiran zahtjev da iskoristi exploit - a od toga se da solidno obraniti da blokiraš mrežne zahtjeve na uređaj sa servera osim whitelistanih (npr., Samsungovih za tvoj Samsung pametni frižider) i blokiraš mrežne zahtjeve s uređaja na servere osim whitelistanih.
Bunker je napisao/la:I neće ništa pomagati kaj je linux u pozadini jer sve je samo pitanje para i resursa koje je neka agencija ili firma spremna uložiti da se probije do nekih podataka.
Gle, NSA i KGB će do mojih podataka doći uvijek ako žele, pa ako nikako drugačije, sudskim nalogom
Od toga se puno teže brani nego od softverskih napada. Case in point:
https://en.wikipedia.org/wiki/FBI–Apple ... on_dispute
Bunker je napisao/la:Android je svojevrsni lunux, zar ne, i na toj platformi je već na milione malwera koji na razne načine mogu činiti štetu. I kućni ruteri su isto svi na linuxu a i njima nije zaraza rijetkost...
Zaraza =/= exploit. Android ima svojih problema, ali većinom se svode na loše kontrole na Google Playu, iako se to u zadnje vrijeme jako popravlja. Zanima me puno više kad je bio neki
malware u definiciji te riječi kao softver koji se instalira na uređaj za rutere.
Bunker je napisao/la:Nema toga kaj se nemože probiti ( znaju biti hakirane i banke i kartičarske kuće iako milione ulažu u sigurnost ) samo je pitanje trenutka u kojem to nekome postaje dovoljno zanimljivo i profitabilno...
Ovo je valjda jedina stvar koja je istinita u tom postu.
iweb je napisao/la:točno mi dođe da otvorim prozore da glupost izađe van, ali ovo je linux forum
ajme care svaka čast odličan flejm roflmao
Bunker je napisao/la:
Općenito, briga o sigurnosti je trajan proces. Ako vam je sigurnost prioritet onda instalacija nekog security softvera i pripadajuća podešenja su tek početak priče.
Istina.
Bunker je napisao/la:Naravno da za prosječne home usere to nije od prevelike važnosti jer najgore kaj vam se može dogoditi je da izgubite podatke ( backup imate, naravno ) ili da vam preotmu vaš račun na nekoj od društvenih mreža ( pa bu malo beda objašnjavati rodbini zakaj im sa vašeg profila stiže pornografija i sl ). Mogući su i problemi sa bankama, no banka lako utvrdi da niste vi odradili transakciju.
Mogu se dogoditi i puno gore stvari, tipa građe identiteta, iznude i sličnog, ali u tom slučaju je to posao za MUP, ne za LZS.
Bunker je napisao/la:No ako sa vašeg računala obavljate nešto bitno, administrirate nekaj za tvrtku, fax, vodite društvene profile javnih osoba, orovlačite velike novčane transakcije, baratate osjetljivim podacima koji se po zakonu smatraju poslovnom tajnom, onda nema dana da bar vuru neposvetite kontroli tog sigurnosnog dijela. Neovisno o operativnom sistemu, stvar sigurnosne higijene i dobre prakse je svakodnevno provjeriti kaj, kome i na koje adrese šalje vaše računalo, na koje adrese se spaja, koji procesi uzrokuju ta spajanja i razmjenu podataka...itd itd itd...
Ovo je točno. Uzmi si na primjer opis sigurnosne politike ove tvrtke:
Interno, Tvrtka ima izuzetno stroge mjere opreza kako bi se sačuvali od napada na računalnu infrastrukturu. Te mjere uključujuću, ali nisu ograničene na:
a. Obveznu dvofaktorsku prijavu u najosjetljivije dijelove računalne infrastrukture
b. Visok standard za lozinke i obveza jedinstvenosti lozinki
c. HTTPS na svim internim i eksternim web platformama tvrtke Tvrtka, uz HSTS omogućen
d. Rigorozne sigurnosne politike i čuvanje audit logova za svaki pristup
e. Obvezna ažuriranja softvera na svim računalima koja se koriste za pristup Tvrtkinoj infrastrukturi, bez obzira na to u čijem je vlasništvu računalo
f. Zabrana korištenja VPN-a (izuzev onih pružanih od ISP-ova unutar RH s kojima Tvrtka ima ugovor ili koje je Tvrtka odobrio) za pristup Tvrtkinoj infrastrukturi
g. Korištenje pouzdanih i provjerenih softverskih rješenja za pristup infrastrukturi uz osobite preporuke korištenja rješenja otvorenog koda (poput Firefoxa i Chromiuma za web preglednike, pri čemu se na svim računalima u vlasništvu Tvrtke pokreće Ubuntu ili neki njegov derivat)
Naši infrastrukturni partneri koriste kvalitetne softverske i hardverske mjere sigurnosti, koje uključuju, ali nisu ograničene na enkripciju, biometrijske provjere prilikom ulaska u podatkovne centre i tajne lokacije pohrane podataka. Budući da se oni nalaze izvan EU te pohranjuju podatke na lokacijama koje mogu biti i unutar i izvan Europske unije, bitno je da naglasimo kako su oni u skladu s EU-US Privacy Shield programom za zaštitu podataka prilikom izvoza izvan EU te da smo s njima potpisali DPA (Data Processing Addendum, anekse ugovora koji govore o načinima obrade podataka) te, u slučaju Googlea, dodatne "Standardne ugovorne klauzule" namijenjene izvoznicima podataka u svrhu osiguravanja dodatnih mjera zaštite privatnosti.
I ove tvrtke:
Naši vanjski servisi podatke pohranjuju isključivo lokalno na računalima osiguranima osnovnom autentikacijom pohranjenih na sigurnim fizičkim lokacijama.
Koja tvrtka je manje ranjiva?
Bunker je napisao/la:Računalo nije jedina karika lanca. Modem je ulaz/izlaz vaših net konekcija i ako netko ovlada njime onda vam je uzalud zaštita i oprez na računalu. Uredjaji kojima se spajate na taj pc ( mobiteli, drugi pc...) isto mogu donijeti probleme na vaš pc.
G. l. u. p. o. s. t.
Računalo svakako nije jedina karika lanca, ali najbitnija. Točno da ti i netko kompromitira ruter, sav HTTPS promet je i dalje siguran, ali samo ako ti je računalo sigurno. Zašto? Jer je sav izlazni promet i dalje enkriptiran na tvom računalu i dekriptiran na serveru te ga ruter - izuzev toga da zna gdje treba usmjeriti pakete - ne vidi ništa o sadržaju tog prometa jer je on sve dok ne dođe do servera enkriptiran. Ista stvar funkcionira u drugom smjeru i tvoj ruter ne može čitati promet koji dolazi za servera prema tebi pod uvjetom da je on enkriptiran.
No, kako to da tvoj ruter ne može dekriptirati taj promet sâm i enkriptirati ga ponovno? Jer nema certifikat kojem tvoje računalo vjeruje - to jest, jer njegov certifikat nije potpisan kao valjan za taj URL s nekim root certifikatom Certificate Authorityja u koji tvoje računalo ima povjerenja, pa će biti prepoznat kao manipulirani primjer. Da ti dokažem, evo primjer:
Ovako izgleda dobro potpisan HTTPS promet:
Ovako izgleda HTTPS promet kojem se ne može vjerovati jer nije dobro potpisan:
Može li se dogoditi da CA izda certifikat kad ne treba? Može. Događa se, ali je rijetko i jako se brzo na to reagira.
Može li se dogoditi da ti dodaš nečiji Root Certificate kao vjerodostojan, a da nije? Može, ali iskreno, blesav si ako to napraviš. To malware stvarno teško može napraviti jer je Certificate Storage jedna od najčuvanijih stvari na modernim uređajima. (Apple daje 100k USD ako uspiješ razbiti Secure Enclave na iPhoneu, gdje su i certifikati pohranjeni *2)
Što moraš napraviti da natjeraš kompjuter da vjeruje nesigurnom HTTPS prometu?
U Chromeu, uzeti i moliti krunicu ili tipkati THISISUNSAFE / BADIDEA, što će upaliti ako i samo ako taj promet nije HSTS osiguran.
U Safariju, kliknuti na Show Details, pročitati tekst o tome zašto je to nesigurno, kliknuti na Visit the website, pročitati obavijest koja te pita želiš li stvarno posjetiti web stranicu gdje ti veza nije privatna i sigurna i da ćeš morati promijeniti postavke povjerenja operativnog sustava, stisnuti OK, unijeti root login i password i stisnuti Update settings. Ako nisi root, nema kruha.
Što se tiče drugih uređaja, istina je da se problemi s njih mogu prenijeti na druge uređaje, ali teško je govoriti o ičemu više bez da je zadan konkretan vektor prijenosa.
Bunker je napisao/la:Nema baš puno av linux rješenja, no ako vam je sigurnost prioritet, onda je odabir av samo dio rješenja i svakodnevnog rada oko toga.
Linux kao os možda i neće biti zaražen niti će pretrpiti štetu, no to neznači da vama nije učinjena neka šteta ili da su se u pozadini odvijale radnje kojima nebiste bili oduševljeni kada bi znali za njih ( možda ste u mjesec dana nekome odrudarili jedan bitcoin i sl...)
....
Ali uz dobro konfiguriranu sigurnosnu politiku, što će ti antivirus na Linuxu postići? Skenirat će za malware, okej, ali ako makneš prava izvršavanja binarnih datoteka koje nisu iz repozitorija svima osim rootu/nekoj grupi, ako makneš prava konfiguriranja mrežnih postavki svima osim rootu/nekoj grupi, što ti se može dogoditi? Ako repozitorij bude kompromitiran, nisi jedini koji je u problemima
shrike je napisao/la:Ovo da ne treba koristiti AV ako si pametan pa znaš što skidaš me podsjeća na ekipu koja ne koristi kondome jer paze što jebu i vade stanicu prije. Regularno završava to sve sa „rekao sam ti“.
Ovo je istina, ali što ti se može dogoditi na Linuxu uz dobru sigurnosnu politiku? Mislim da je kvalitetno postavljena sigurnosna politika puno smislenija od antivirusa na Linuxu.
Da ne bude da ja samo trujem, evo i moje osobno iskustvo.
Na Windows računalima mislim da je uz dobre sigurnosne preporuke sasvim dovoljan Windows Defender ili kako se već on danas zove kao solidno kvalitetan i neintruzivan antivirus, ali je po defaultu Windows pun nesigurnih postavki zbog kojih je jako lagano zaraziti se virusom, pogotovo bez antivirusa i uz nepažnju. Uz tu zaštitu, nikad nisam
Na macOS računalu koje mi je primarni daily driver otvaram samo aplikacije potpisane valjanim Developer Certificateom, koje automatski prolaze kroz Gatekeeper, ugrađeni macOS antivirus / sigurnosni mehanizam. Također sam znao izvršavati kod s GitHuba, ali bih ga pročitao da nije neka glupost. Apsolutno nijednom nisam pokupio ništa.
Na Linuxu sam pokretao samo stvari koje mislim da sigurne. Nikad nisam imao antivirus, ali sam imao dobro postavljene politike. Isto nikad problema.
Je li to sreća, pažnja ili sigurnost sustava, ne znam reći. Na Androidu sam znao pokupit adware s Google Playa lmao
Fusnote
*1. Izuzev potencijalnih ranjivosti koje možda postoje u web preglednicima, no tu treba imati na umu da se preglednici jako brzo krpaju i da su stvarno jako male vjerojatnosti da netko takav exploit može iskoristiti prije nego što bude zakrpan. Chrome je svoju zadnju memorijsku ranjivost koju mogu naći imao 2014 (
https://chromereleases.googleblog.com/2 ... te_14.html), bila je brzo zakrpana i prema sigurnosnim istraživanjima, mogla se koristiti gotovo isključivo za korupciju memorije, ne za manipuliranje njom.
*2. u ovo nisam 100 posto siguran, tipkam po sjećanju
ali na ovo ću samo kratko odgovoriti da i sam znaš da je do tih podataka puno lakše doći socijalnim inženjeringom nego snifanjem prometa korisnika i praćenjem njegovih aktivnosti putem weba.