*

Αποστολέας Θέμα: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη  (Αναγνώστηκε 5270 φορές)

Αποσυνδεδεμένος lucinos

  • Great Mint Guru
  • ******
  • Μηνύματα: 823
  • Thanked: 36 times
  • Karma: 29
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #15 στις: Φεβρουάριος 23, 2016, 01:51:39 μμ »
προσωπικά με εκνευρίζει που εξακολουθεί να χρησιμοποιεί κόσμος md5. Το md5 δεν είναι κρυπτογραφικά ασφαλές και επιτέλους ας το αφήσουμε στον προηγούμενο αιώνα που κανονικά ανήκει. Κρυπτογραφικά ασφαλές είναι το sha2.

Αποσυνδεδεμένος babis19

  • Great Mint Apprentice
  • ***
  • Μηνύματα: 18
  • Karma: 0
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #16 στις: Φεβρουάριος 23, 2016, 08:58:24 μμ »
Να ενημερώσω εδώ τα αξιότιμα μέλη ότι είστε γνώστες του θέματος και δεν αντιμετωπίζετε προβλήματα με md5 ή με sha2 κλπ. Ο μέσος χρήστης ποτέ δεν θα μπει στον κόπο να τα χρησιμοποιήσει όλα αυτά. Ο μονος τρόπος, κατα την άποψη μου να χρησιμοποιήσει κάποια μέθοδο επαλήθευσης είναι όταν "καίει" το DVD ή φτιάχνει το USB να υπάρχει ένα τσεκαρισμένο κουτάκι στο προγραμμα που θα το χρησιμοποιήσει ώστε να το κανει αυτοματα γιαυτόν. Νομίζω πως το Unetbootin το έχει. Απο μονος του ο χρήστης, ποτέ!

Αποσυνδεδεμένος lucinos

  • Great Mint Guru
  • ******
  • Μηνύματα: 823
  • Thanked: 36 times
  • Karma: 29
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #17 στις: Φεβρουάριος 23, 2016, 09:12:07 μμ »
Να ενημερώσω εδώ τα αξιότιμα μέλη ότι είστε γνώστες του θέματος και δεν αντιμετωπίζετε προβλήματα με md5 ή με sha2 κλπ. Ο μέσος χρήστης ποτέ δεν θα μπει στον κόπο να τα χρησιμοποιήσει όλα αυτά. Ο μονος τρόπος, κατα την άποψη μου να χρησιμοποιήσει κάποια μέθοδο επαλήθευσης είναι όταν "καίει" το DVD ή φτιάχνει το USB να υπάρχει ένα τσεκαρισμένο κουτάκι στο προγραμμα που θα το χρησιμοποιήσει ώστε να το κανει αυτοματα γιαυτόν. Νομίζω πως το Unetbootin το έχει. Απο μονος του ο χρήστης, ποτέ!

Αυτό που λες ούτε γίνεται έτσι, ούτε καν έχει μεγάλο νόημα όπως το λες. Η πικρή αλήθεια είναι ότι αν δεν υπάρξει ένα δίκτυο διανομής με το λίνουξ ως προεγκατεστημένο λειτουργικό γνώριμο στον κόσμο απλά δεν θα πάει μακρυά στην προσβασιμότητα για τον πολύ κόσμο.

Αποσυνδεδεμένος talos

  • To be or not to be is true
  • Amazing Μint Guru
  • ********
  • Μηνύματα: 1923
  • Thanked: 91 times
  • Karma: 83
  • Church of the SubGenius
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #18 στις: Φεβρουάριος 23, 2016, 09:27:36 μμ »
Λύση για αυτό υπάρχει και έχει αρχίσει κάποια δουλειά η διανομή Tails
Περισσότερα εδώ: https://tails.boum.org/blueprint/bootstrapping/extension/
Και αν αυτό ακολουθηθεί από τις κύριες διανομές θα μπορεί να λυθεί το πρόβλημα του κατεβάσματος του iso με αυτόματο τρόπο.

<paranoia mode="On">
Τώρα βέβαια κανένας δεν θα μπορεί να  βεβαιώσει πως το πρόγραμμα που που θα περάσει το iso στο usb δεν είναι πειραγμένο, ούτε για το λειτουργικό που θα τρέξει για να κάνει την εγράφη, ούτε μπορείς να ελέγξεις το λειτουργικό του USB, ούτε το BIOS του μηχανήματος σου. Αυτά ακόμα και αν έχεις εμπιστοσύνη στους προγραμματιστές των δεκάδων χιλιάδων πακέτων μιας διανομής, εμπιστοσύνη στους δεκάδες pacκageρs του mint, του debian, του ubuntu, και στους κατασκευαστές της διανόμης, μεταξύ άλλων.
<paranoia mode="off">

Ένας αυτόματος έλεγχος θα ήταν ένα καλό βήμα πάντως  :)
-- Λίστα ΟδηγώνΧρήσεων - Οδηγός Χρήσης του linuxmint.gr - Οδηγός Χρήσης ΒΒcode - Δημιουργία υπογραφής - IRC --
Έκλεψα κι έκρυψα σε ξύλο κουφωτό το σπόρο του πυρός, το δάσκαλο για πάσα τέχνη των θνητών, προίκα μεγάλη.
Για τέτοιο κρίμα πληρώνω μετέωρος στην ερημιά, καρφωμένος σε τούτο το βράχο.

(εν διαστάσει)

Αποσυνδεδεμένος NikTh

  • Cool Mint Expert
  • **
  • Μηνύματα: 168
  • Thanked: 8 times
  • Karma: 13
  • NickTux
    • Προφίλ
    • NickTux.com
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #19 στις: Φεβρουάριος 23, 2016, 09:38:35 μμ »
Παράθεση
ή έτσι για να το παίξουμε hackerαδες, αφού βρήκαμε την αδυναμία, ας του δώσουμε να καταλάβει.

Το πανηγύρι ξεκίνησε ήδη πάντως. Για παράδειγμα εδώ https://lwn.net/Articles/676664/ έχει ένα άρθρο με τίτλο "Linux Mint downloads (briefly) compromised" και το κείμενο μέσα λέει για οτιδήποτε άλλο παρά για το το συνέβη.  Σε μερικά ξέρω πως ο NikTh θα συμφωνήσει με τον συγραφέα, τα έχουμε άλλωστε ξανασυζητήσει αυτά εδώ μέσα άλλωστε.


Ναι, μιλάγαμε συγκεκριμένα για τον πυρήνα αν θυμάμαι καλά. Εκεί ήταν η διαφωνία μου. Σε γενικότερο βαθμό δεν ξέρω.

Εντάξει, το άρθρο πιάνετε από την πρόσφατη επίθεση με το ISO και γράφει άλλα αντί άλλων, βγάζει τις ανησυχίες του (ο συγγραφέας) ή ...κάτι άλλο, σε σχέση με το πόσο ασφαλής είναι.

Δεν θέλω να μιλήσω περί ασφάλειας, πιστεύω ότι το έχω εξαντλήσει το θέμα (όχι εδώ μέσα, γενικότερα) και το αποτέλεσμα είναι πάντα το ίδιο, το μεγαλύτερο ποσοστό ευθύνης το έχει πάντα ο χρήστης. Ο απρόσεκτος χρήστης. Ο "πέρα βρέχει" χρήστης...κλπ.

Τα πάντα έχουν bugs, αλλά και τρύπες ασφαλείας οι οποίες ανοίγουν και κλείνουν συνεχώς.

Οι αδαής σχετικά με το Linux χρήστες, ναι θα ακούσουν για hacking του Linux Mint (έχει αυτή τη λέξη Linux βλέπεις στο όνομά του) και θα αρχίσουν .... τα δικά τους.

Όποιος πάντως θέλει να διαβάσει σοβαρές αναλύσεις της αδυναμίας που εκμεταλλεύτηκαν  οι επιτιθέμενοι, μπορεί να βρει έγκυρες πηγές και άρθρα (όχι στυλ LWN).
Linux: ★★★☆☆ ┃ Προγραμματισμός: ☆☆☆☆☆ ┃ Αγγλικά: ★★★☆☆

About Me  ◀  
Xenial Xerus BFQ Linux KernelsXenial Xerus BFS/BFQ Linux LTS Kernels
https://nicktux.com

Αποσυνδεδεμένος babis19

  • Great Mint Apprentice
  • ***
  • Μηνύματα: 18
  • Karma: 0
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #20 στις: Φεβρουάριος 23, 2016, 09:50:45 μμ »
@lucinos
Δεν γνωρίζω αν γίνεται, παντως σαν επιλογή στο tuxboot το βλέπω. Για να το λες ίσως δεν δουλευει.

Οσο για το να γίνει δημοφιλές το λινουξ, έχει υπολογιστές που δίνονται με προεγκατεστημένο Λινουξ. Ειμαι σίγουρος πως το πρωτο πραγμα που κανει ο αγοραστής ειναι να κανει φορματ και να βαλει Windows. Εαν θελει το Linux να γίνει δημοφιλές είναι πολύ απλά τα πραγματα για μένα.
α. Να είναι όμορφα. Σχεδιαστικά τo OSX αλλα και τα Win ειναι πολύ πιο όμορφα
β. Να ειναι εύκολα. Πολύς κόσμος δεν θέλει τερματικό. Κακα τα ψεματα. Ενώ είναι πανίσχυρο εργαλείο και ίσως για μενα και για σένα ειναι όμορφο, για τον πολύ τον κόσμο που απλά θελει να εγκαταστήσει το Skype είναι εκνευριστικό να χρησιμοποιήσει τερματικό ενώ στο OSX το κανει με ενα απλό drag n drop
γ. Να είναι λειτουργικά. Εγώ που δεν ξερω πολλά αλλά ένα φορματ ξερω να το κανω, εχω βάλει λίνουξ σε 4 Mac. Σε κανενα δεν δουλευε σωστα η καρτα γραφικών. Θα μου πεις, φταει η nVidia. Δεν με νοιάζει. θελω να δουλευει. Σε 4 υπολογιστες έβαλα Ubuntu πριν απο 3 χρόνια και όταν ήθελα να βαλω εκτυπωτή δεν τους αναγνώριζε. Τους δύο τους αναγνωριζε αλλα επρεπε να γινει build ο driver. Πες τώρα σε μέσο χρήστη να κανει build τον driver και θα σε κοιταει σαν αλιεν.
δ. Ενημερωση. Δυστυχώς οι εταιρείες που προωθούν το λινουξ δεν έχουν τα χρήματα της Microsoft ή της Apple για διαφήμιση. Eυελπιστώ πως αυτο θα αλλαξει με την είσοδο στην αγορα των ubuntu Phones και περισσοτερος κοσμος θα δει το λινουξ και τα θετικά του

Τα θετικά που έχει (ασφάλεια, ελαφρύ, γρήγορο) δεν είναι αρκετά, προς το παρον, για να εκθρονίσουν τα Windows.

Αγαπαω το λινουξ και θα ήθελα να το δω σε οσο και περισσοτερους υπολογιστες. Αυτό θα μου έκανε πιο εύκολη την ζωή γιατι θα λύνονταν πολλά απο τα προβλήματα μου αλλα και της κοινωνίας που ζω. Αλλα είναι αποτρεπτικά για τον μεσο χρήστη. Αυτον που δεν ξερει τι ειναι το md5.

Αποσυνδεδεμένος lucinos

  • Great Mint Guru
  • ******
  • Μηνύματα: 823
  • Thanked: 36 times
  • Karma: 29
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #21 στις: Φεβρουάριος 23, 2016, 10:50:40 μμ »
α. Να είναι όμορφα. Σχεδιαστικά τo OSX αλλα και τα Win ειναι πολύ πιο όμορφα
Αυτό είναι και κάπως υποκειμενικό. Προσωπικά θεωρώ το KDE πιο όμορφο από το OSX και τα Win.

Παράθεση
β. Να ειναι εύκολα. Πολύς κόσμος δεν θέλει τερματικό. Κακα τα ψεματα. Ενώ είναι πανίσχυρο εργαλείο και ίσως για μενα και για σένα ειναι όμορφο, για τον πολύ τον κόσμο που απλά θελει να εγκαταστήσει το Skype είναι εκνευριστικό να χρησιμοποιήσει τερματικό ενώ στο OSX το κανει με ενα απλό drag n drop
Τελευταία φορά που εγκατέστησα στο skype το είχα κάνει μια χαρά από το κέντρο λογισμικού. Δεν ξέρω για τι πράγμα μιλάς, αν και το skype δεν είναι ελεύθερο λογισμικό και ανήκει στην microsoft το οποίο σημαίνει ότι είναι στα χέρια μιας τρίτης εταιρείας (τής microsoft) πώς διανέμεται στο λίνουξ και δεν έχει σχέση με τα χαρακτηριστικά τού λίνουξ. Πιο σημαντικό όμως είναι να τονίσω ότι από την προσωπική μου εμπειρία στο να βλέπω εντελώς άσχετους από υπολογιστές να δοκιμάζουν λίνουξ είναι ότι το λίνουξ είναι ΕΥΚΟΛΟΤΕΡΟ για έναν άσχετο. Την ευκολία κανείς πρέπει να την βάλει στα πολύ θετικά σε σχέση με τα windows που εμπειρικά είναι πολύ δυσκολότερα στην χρήση. Το ότι υπάρχει κάπου και ένα τερματικό το οποίο επειδή είμαστε ψυχάκιδες μάς αρέσει να χρησιμοποιούμε ή δυστυχώς (για άλλους όμως λόγους) αναγκαζόμαστε να χρησιμοποιήσουμε δεν λέει κάτι αφού και τα windows έχουν γραμμή εντολών και το osx έχει γραμμή εντολών. Για τούς αντίστοιχους λόγους και για το osx θα ήθελες ή θα αναγκαζόσουν αντιστοίχως να μπεις σε γραμμή εντολών, αυτό δεν λέει κάτι.

Παράθεση
γ. Να είναι λειτουργικά. Εγώ που δεν ξερω πολλά αλλά ένα φορματ ξερω να το κανω, εχω βάλει λίνουξ σε 4 Mac. Σε κανενα δεν δουλευε σωστα η καρτα γραφικών. Θα μου πεις, φταει η nVidia. Δεν με νοιάζει. θελω να δουλευει. Σε 4 υπολογιστες έβαλα Ubuntu πριν απο 3 χρόνια και όταν ήθελα να βαλω εκτυπωτή δεν τους αναγνώριζε. Τους δύο τους αναγνωριζε αλλα επρεπε να γινει build ο driver. Πες τώρα σε μέσο χρήστη να κανει build τον driver και θα σε κοιταει σαν αλιεν.
Πόσες φορές έχεις εγκαταστήσει Mac σε άλλο μηχάνημα; Μάλλον καμμία, άρα το mac είναι πολύ χειρότερο από το λίνουξ σε αυτό το θέμα.

Παράθεση
Τα θετικά που έχει (ασφάλεια, ελαφρύ, γρήγορο) δεν είναι αρκετά, προς το παρον, για να εκθρονίσουν τα Windows.
Η δική μου λίστα θετικών είναι πολύ μακρύτερα, για παράδειγμα πιστεύω ότι είναι και πιο εύκολο και το λέω ξέροντας τρία άτομα που έχουν στον υπολογιστή τους λίνουξ το χρησιμοποιούν καθημερινά χωρίς πρόβλημα και είναι παντελώς άσχετοι από υπολογιστές. (κανένας από τούς τρεις δεν το εγκατέστησε, ο ένας από τούς τρεις δεν ήξερε καν ότι αυτό στον υπολογιστή του ήταν λίνουξ). Ακόμα πιο σημαντικό για μένα είναι η στήριξη τού ελεύθερου λογισμικού.

Τώρα σχετικά με τα παραδείγματα που δίνεις με προεγκατεστημένο Linux, μετράνε από ελάχιστα ως καθόλου. Οι περισσότεροι υπολογιστές που υπάρχουν διαθέσιμοι με Linux είναι διαθέσιμοι με Linpus Linux και φυσικά καθόλου δεν είναι εκεί για να χρησιμεύσει ως λειτουργικό ούτε παρέχεται κανενός είδους υποστήριξη. Δεν έχει καμμία σχέση λοιπόν και δεν βοηθάει καθόλου παρά μόνο από την άποψη ότι αυτός που δεν θέλει windows δεν θα πάρει windows. Ελαφριές εξαιρέσεις υπάρχουν, κυρίως η Dell η οποία έχει και υπολογιστές με ubuntu, αλλά αυτό που κάνει είναι εντελώς στοιχειώδες και δεν έχει καμμία σχέση με την υποστήριξη που η ίδια παρέχει στα windows. Η ίδια η Dell εξάλλου εκεί ακριβώς που πουλάει υπολογιστές με λίνουξ λέει «η Dell συνιστά Windows». Συνεπώς η αλήθεια είναι ότι το λίνουξ δεν έχει καμμία απολύτως υποστήριξη στην διανομή και ως λειτουργικό χωρίς κανενός τέτοιου είδους υποστήριξη είναι ένα μικρό θαύμα που εμφανίζει πάνω από 3% στην Ελλάδα (εγώ αυτό το ονομάζω «επενδυτική ευκαιρία»)
« Τελευταία τροποποίηση: Φεβρουάριος 23, 2016, 10:53:13 μμ by lucinos »
The following users thanked this post: babis19

Αποσυνδεδεμένος babis19

  • Great Mint Apprentice
  • ***
  • Μηνύματα: 18
  • Karma: 0
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #22 στις: Φεβρουάριος 23, 2016, 11:02:05 μμ »
Σευχαριστω για το κατατοπιστικό σχολιο  :)

Αποσυνδεδεμένος lucinos

  • Great Mint Guru
  • ******
  • Μηνύματα: 823
  • Thanked: 36 times
  • Karma: 29
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #23 στις: Φεβρουάριος 23, 2016, 11:20:03 μμ »
<paranoia mode="On">
Υπάρχει κάτι που νομίζω λέγεται δίκτυο εμπιστοσύνης (το αναφέρει ο Λίνους στην ομιλία του για το git). Ανεξαρτήτως αν χρησιμοποιούμε Linux, Windows ή OSX ή οττιδήποτε άλλο ανοικτό ή κλειστό εκεί βασίζεται πάντα η ασφάλειά μας.

Παράθεση
Ένας αυτόματος έλεγχος θα ήταν ένα καλό βήμα πάντως  :)
Κατ' αρχήν το καλύτερο είναι πάντα να κατεβάζουμε με torrent. Τα torrent αφενός δεν επιβαρύνουν κεντρικούς σέρβερ αλλά επιπλέον ταυτοποιούν αυτό που κατεβαίνει ούτως ή άλλως. Πέραν όμως από τέτοιου είδους ελέγχου απλά δεν βλέπω πως ένας «αυτόματος έλεγχος» μπορεί να βοηθήσει κάποιον χρήστη που απλά πέφτει θύμα απάτης. Όπως και να το κάνουμε είναι θεμελιωδώς διαφορετικό να κατεβάζουμε ενημερώσεις/αναβαθμίσεις τις οποίες τις αναλαμβάνει το ήδη εγκατεστημένο λειτουργικό (και ελέγχει και υπογραφές και τα κάνει όλα όμορφα και με ασφάλεια) και διαφορετικό να κατεβάζεις το ίδιο το λειτουργικό γιατί στην δεύτερη περίπτωση «μπουτάρεις» την διαδικασία απόκτησης και υπάρχει ένα αρχικό σημείο που απλά πρέπει να μην πέσεις θύμα απάτης. (αν και υπάρχει μια γενικότερη καλή συμβουλή, να χρησιμοποιεί κανείς πάντα torrent)

Αποσυνδεδεμένος talos

  • To be or not to be is true
  • Amazing Μint Guru
  • ********
  • Μηνύματα: 1923
  • Thanked: 91 times
  • Karma: 83
  • Church of the SubGenius
    • Προφίλ
Απ: Κακοβουλο λογισμικο σε Iso Mint Cinnamon 17.3 που κατεβηκε 20 Φλεβαρη
« Απάντηση #24 στις: Φεβρουάριος 24, 2016, 04:29:26 μμ »
Προς αποκατάσταση της αληθείας το άρθρο στο lwm.net είναι το παρακάτω. Αλλά όλοι μας το είδαμε μέσα από το hacker news και την πατήσαμε.  :)

Όποτε οι αιτιάσεις περί αναντιστοιχίας τίτλου και περιεχομένου είναι εσφαλμένες από την πλευρά μου. Mea Culpa.

https://lwn.net/Articles/676613/
« Τελευταία τροποποίηση: Φεβρουάριος 24, 2016, 04:34:01 μμ by talos »
-- Λίστα ΟδηγώνΧρήσεων - Οδηγός Χρήσης του linuxmint.gr - Οδηγός Χρήσης ΒΒcode - Δημιουργία υπογραφής - IRC --
Έκλεψα κι έκρυψα σε ξύλο κουφωτό το σπόρο του πυρός, το δάσκαλο για πάσα τέχνη των θνητών, προίκα μεγάλη.
Για τέτοιο κρίμα πληρώνω μετέωρος στην ερημιά, καρφωμένος σε τούτο το βράχο.

(εν διαστάσει)

 

Τελευταία θέματα