Secunia: 98 procent počítačů je zamořeno „děravým“ softwarem

Ach jo, fakt by nešlo příště dát do záhlaví místo "všech počítačů" raději "všech testovaných počítačů"? Jasně, v textu se to nakonec objeví, a co bychom neudělali pro zvýšení čtenosti, ale stejně...

Osobně nepovažuji za nejvíc zkreslující to, že jde o program pouze pro widle, ale hlavně to, že nejde o reprezentativní vzorek, protože si to ti lidé dobrovolně stáhli. A co si budeme povídat, lidé, kteří si dobrovolně stáhnou a spustí "cokoli" nebudou mít nejspíš nejzabezpečenější počítače. Mimo jiné např. kvůli tomu, že ten samotný prográmek (jen tipuji, nezkoušel jsem jej) také potřebuje admin práva, která tu vesměs každý kritizuje. K tomu lze přičíst, že ve firmách bývají instalace standardní, takže by šlo otestovat jen jediný počítač, aby admini zjistili výsledek, ale ve skutečnosti se tam nedostal ani ten jeden, protože ve velkých firmách si tohle řeší/hlídají jinak.

No a poslední poznámka by byla ještě jednou ke slovníku: z textu nevyplývá, jestli se počítají jen zranitelnosti, které umožňují nějaký skutečně nebezpečný zásah, spíš bych tipl, že počítají prostě všechno jen podle verze, a už vůbec pak nelze uvažovat nad tím, jestli nalezená chyba je ve skutečnosti využitelná. Protože spousta lidí má na compu antivir (a z nezabezpečeného compu by se tedy rázem měl stát comp zabezpečený, alespoň pokud to slovo chápeme aspoň trochu hlavou), dále firewally, dále vypnuté služby nutné pro úspěch útoku, případně člověk daný SW vůbec nevyužívá, ač jej má nainstalovaný (např. používá updatovaný FF místo neupdatovaného IE atd.), apod. Suma sumárum to číslo zabezpečených počítačů bude odhaduji zhruba dvacetkrát podhodnocené...

Viděl bych to skoro opačně, obávám se, že lidé, kteří tento program najdou a spustí, patří mezi pokročilejší uživatele (např. čtenáři Živě). Běžný uživatel, který o bezpečnosti ví jenom z reprotáží Novy, určitě sám nic neaktualizuje a o takovémto programu nikdy neslyšel.

Prvni pokus:

[URL=http://img155.imageshack.us/my.php?image=psilh3.jpg][IMG]http://img155.imageshack.us/img155/5985/psilh3.jpg[/IMG][/URL]

On snad existuje nějaký dokonalý program bez děr?

void main() {

char* text="hallo world";

printf ("%s", text);

free (text);

}

Bez chyb. Takmer

co tam dela to free(text) ?

ak by tam nebolo tak by kazde spustenie zozerie s pamter 12 bytov, toto je cez free zrusene

Výskumník a vyučujúci predmetu Unix/Linux... na 101. najlepšej univerzite v oblasti informatika na svete shanghairanking.com/SubjectCS2012.html , . ACM Professional member #5480576

Segfault, co ine. Ved vravim, ze *takmer*.

Ale jeho odstranenim by mal vzniknut naozaj bezchybny program.

Mas tam kopu chyb:

1. Pise sa "hello world", nie "hallo world"

2. printf bezpecna funkcia? Odkedy? Pouzi ostream.

3. free(text)? Tak to je programovanie ako v Redmonde. :)

1. Pravda... Z nedostatku lepsich vyhovoriek to nazvem to preklepom.

2. V takomto pripade by mala byt bezpecna.

3. Redmond? In that case it's not a bug, it's a feature

Pise se "Hello World!"

TAKY ŠPATNĚ!

Za hello musí být čárka.

Z českých škol: „Internet je to modré e na ploše, po jehož spuštění se zobrazí Seznam internetu.“

Tak to jsi me dostal

Ale kuš, Ahoj světe!

void main(int argc, char **argv) {

}

Odstranil som potencionalne bezpecnostne rizika

format c:

nejdřív se zbav děravých programů

Fuu, tak toto ma vazne nenapadlo Klaniam sa

Adobe Acrobat 7.x

Adobe AIR 1.x

Microsoft Windows XP Professional

a hned 5x Sun Java JRE 1.6.x / 6.x

Acrobat menit nehodlam, AIR jsem aktualizoval, i kdyz ho nejspis odinstaluju uplne, Windows jsou a byly updatovany, pomoci JavaRa jsem smazal zaznamy o starych verzich Javy. Pak jsem prepnul tenhle Secunia PIS do Advanced modu a co nevidim, NOD32 2.51.30 jako security threat CAT3? Nova verze stoji za pytel. A Media Player Classic 6.x is end-of-life and potentially exposes your system to security threats! To vite, ze jo. Jinak slusny program na odhaleni outdatovaneho software, jine diry to nenajde.

Asi sposobim flamewar, ale neda mi to... Nezda sa vam podozrive, ze ten pocet nie-deravych strojov takmer presne zodpoveda rozsireniu Linuxu na desktopoch?

(Toto je samozrejme nezmysel, nakolko je ten program urceny len pre Windows. Ale zaujalo ma to.)

Jasne, ze je to nahoda, lebo cosi podobne sa uz deje aj na linuxe, ak sudim podla seba. Do Ubuntu 8.04 som si rucne ninstaloval som si GIMP 2.6.cosi a mam ho tam doteraz, napriek tomu, ze uz je aspon 2.6.3. Cize bol by som v skupine ludi s nezabezpecenym pocitacom

Ad Windows, podla seba viem, ze je to tak, jednoducho, pokym program nema automaticke aktualizacie, tak neaktualizujem, az na nejake vynimky.

Nemyslim si, ze kazdy neaktualizovany sw je bezpecnostne riziko, ale napriek tomu by Windows mohol podporovat globalnu aktualizaciu systemu. Takmer kazdy program ma uz automaticke aktualizacie, stacilo by len zjednotit to. Kazdy program by si pri instalacii pridal odkaz na vlastny aktualizacny server a o zvysok by sa staral system. Alebo vo Windows Update aspon upozornovat na problemove aplikacie.

... btw, makaci (Mac-aci) by si mozno mohli aj hnevat

... a co tito http://www.openbsd.org/ ?

Jakýkoliv neznámý/nový program, který potřebuje naprosto zbytečně admin práva pro instalaci (a nestačí Power Users), je podezřelý. Že je někdo neschopnej, a neumí to, ho neomlouvá.

Daný software je jen pro Windows = kontroluje tedy jen Windows.

Jak může být zamořeno 98% počítačů, když podíl Windows je něco pod 90% ? Ten zbytek je odhad?

Jo to by odpovídalo 98% děravý soft - M$ & 2%?? - xunil

Určitě tím mysleli 98 % kontrolovaných počítačů. Jinak k tomu Linuxu - překvapuje mě, jak moc linuxových strojů, ke kterým se dostanu má staré verze programů se známými bezpečnostními chybami. Týká se to především serverů, kde je třeba aktualizace redakčního systému trochu složitější a tak se odkládá a odkládá. To že systém má známé (a už opravené) bezpečnostní díry, je pro spoustu správců "přijatelné riziko".

Však já netvrdím, že je Linux, Mac, cokoliv bez chyb.

Jen narážím na odvážné tvrzení o 98% všech počítačů, protože o tomhle čísle silně pochybuji a měřící prostředky jsou takové, že je lze aplikovat jen na 90% z nich.

Kdybych měl upgradovat všechny nasazené Wordpressy, tak nedělám nic jiného. A kdo mi to zaplatí?

Přejdi na drupal, ten umožnuje že ti na jednom drupalu může najednou šlapat několik webu s rozličnou tematikou a vše pod jinymi domenami, pak stači aktualizovat jen jeden RS a maš i desitky webu na aktualnim systemu ja to tak používám.

Ono v podstatě cokoli je bezpečnější, než software od Microsoftu. Takže mě nepřekvapuje, když na většině Windows serverů vidím jiný výchozí prohlížeč, než je IE

Samozřejmě, že to je přijatelné riziko. Bezpečnost není ideální svět plný neporazitelných dobyvatelů a nedobytných hradů. Je třeba všechno přepočíst na peníze. Kolik útočník získá napadením serveru? Jaké prostředky na to bude muset vynaložit? Jak moc riskuje vlastní prozrazení? Pokud může získat například dvacetkrát víc, než vynaloží, je načase se začít bát a zlepšit zabezpečení. Pokud ale útok stojí statisíce a výsledkem je přístup ke kontu Franty Votruby, s limitem patnáct tisíc denně, je mnohem menší šance, že takový útok někdo podnikne.

Žádný systém není bez chyb. Nicméně najdete desítky zpráv o velkých problémech a zcela konkrétních finančních škodách přímo způsobených softwarem od Microsoftu. V případě jiných systémů nic podobného nenajdete. Přestože tyto systémy střeží nesrovnatelně vyšší hodnoty než vše od Microsoftu dohromady, neexistuje pro ně ani jeden virus a neexistuje ani jedna zpráva o tom, že by snad jejich chyba způsobila nějaké konkrétní škody.

A pak jste se probudil a měl ruku v nočníku?

Niet nad kvalifikovanu reakciu podlozenu padnym argumentom

Takto se projevuje argumentační mrzák, který už nedokáže dál obhajovat své zavirované omalovánky a zároveň jeho IQ nestačí k používání pořádného systému. Takový člověk se musí cítit hrozně. A dobře mu tak!