The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Детский вопрос по обновлениям"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на рабочей станции (Разное / Linux)
Изначальное сообщение [ Отслеживать ]

"Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 23-Окт-19, 19:03 
Вопрос детский, но от этого не менее важный, поскольку касается обновлений ОС.

На серверах, которые находятся в Интернете, обновления выполняю регулярно, т.к. это обеспечивает закрытие всяческих уязвимостей (и добавляет новые :)) , через которые хакеры могут осуществить взлом.
В основном эти обновления выполняются корректно и не создают проблем.

А вот на Десктопе, который стоит под надежной защитой роутера с NAT с закрытыми входнымми портами - так ли уж важны эти обновления?

Почему об этом спрашиваю. Дело в том, что на десктопных ОС такие обновления иногда вызывают не улучшение работы ОС, а наоборот, добавляют в нее новые косяки, видимые невооруженным глазом.

За пару-тройку лет их накопилось достаточно много - то одно отвалится, то другое, и часть из них довольно чувствительные.
И что противно, разработчики в обновлениях только добавляют эти косяки, но  совершенно не собираются их устранять, т.к. наверняка трудятся на "новым дистром", а на старый им уже наплевать.

Вот я и подумал - а нужно ли вообще обновлять десктоп, который защищен роутером, если начальная финальная версия дистра своей работой меня вполне устраивает, а эти "обновления с косяками" мне совершенно до лампочки?


Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму систему, ядра, systemd, и т.д., и т.п. - так ли уж обязательно ее обновлять?

Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно во что-то вляпаешься.
Причем навсегда :(

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Детский вопрос по обновлениям"  –1 +/
Сообщение от universite (ok), 23-Окт-19, 20:25 
> А вот на Десктопе, который стоит под надежной защитой роутера с NAT
> с закрытыми входнымми портами - так ли уж важны эти обновления?

NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет жизнь хулхакерам и вирусописателям.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Детский вопрос по обновлениям"  +1 +/
Сообщение от Pofigist (?), 25-Окт-19, 01:09 
> NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет
> жизнь хулхакерам и вирусописателям.

Cisco ASA смотрит на тебя с удивлением...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Детский вопрос по обновлениям"  +/
Сообщение от Licha Morada (?), 23-Окт-19, 23:29 
> А вот на Десктопе, который стоит под надежной защитой роутера с NAT
> с закрытыми входнымми портами - так ли уж важны эти обновления?

Да, важны.
Даже если вы закрылись от Интернета NATом... Допустим, закрылисть, хотя выше дело говорят, блокировка входящих подключений осуществляется файерволлом, а сам по себе NAT это ширма, не более. Они обычно вместе настраиваются, поэтому считается что раз NAT, значит файерволл, значит защита. А если кто, по недоразумению, средний пункт перепрыгнет, то подвергнет себя риску.

Так вот, даже если, допустим, то останется по меньшей мере две модели угроз, обобщённо:
1. Сосед по локалке или по публичному вайфаю, нахватавшийся дряни, или возомнивший себя пентестером общественником. Или и то и другое. Его машина запросто может попытаться атаковать вашу.
2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке, может сбить с толку программу, которой вы его открываете, и попытатсья сделать что-то интересное в userspace или эксплотировать локальную уязвимость.
Никакой NAT, даже с файерволлом, вас не защитит если вы привели врага в дом за руку. Только запоры на комодах, холодильник антивандалной редакции и дворецкий с дробовиком.

> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.

По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
Ну, или если железо глючное, но там с с системы спроса мало.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 24-Окт-19, 00:13 
Разумеется, что роутер с файрволом, NAT к нему добавил для пущей защиты.

> ... Его машина запросто может попытаться атаковать вашу.

Попытаться-то он может, только в этом и вопрос - как?
Как, если он переберет сканером все 0...65535 и наткнется на глухую стену - ведь все входящие порты закрыты файрволом.

> 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,....

Этот способ угрозы понятен, но он опасен больше всего для Windows.
Речь же идет о Linux - много ли для него существует подобных эксплоитов и т.п.?

> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.

Никакой экзотики - я вообще все делаю по дефолту, ни шага влево, нишага вправо, и обновления тоже.
Но вот только от криворуких разрабов это не спасает - чем дольше времени проходит, тем больше система нахватается их кривых обновлений, и тем больше начинает хромать система.

Вот я призадумался - на кой фиг эти "обновления", если они одни косяки удаляют, а новые прибавляют?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Детский вопрос по обновлениям"  +/
Сообщение от Аноним (5), 24-Окт-19, 00:31 
>[оверквотинг удален]
> Речь же идет о Linux - много ли для него существует подобных
> эксплоитов и т.п.?
>> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
> Никакой экзотики - я вообще все делаю по дефолту, ни шага влево,
> нишага вправо, и обновления тоже.
> Но вот только от криворуких разрабов это не спасает - чем дольше
> времени проходит, тем больше система нахватается их кривых обновлений, и тем
> больше начинает хромать система.
> Вот я призадумался - на кой фиг эти "обновления", если они одни
> косяки удаляют, а новые прибавляют?

Новые косяки никому не известны, а старые всем.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 24-Окт-19, 18:47 
> Новые косяки никому не известны, а старые всем.

Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом?
Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы.

Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею:

- отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка;
- при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл"
- при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist"
- в трее пропал буфер Cliplt
- в трее перестал работать погодный индикатор
и т.д. и т.п.

Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше.
То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят.

Ну и на кой хрен имне такие "обновления" ??

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

28. "Детский вопрос по обновлениям"  +/
Сообщение от Аноним (28), 04-Дек-19, 13:47 
Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут, то обновления не виноваты.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Детский вопрос по обновлениям"  +/
Сообщение от Anonim (??), 04-Дек-19, 18:51 
> Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в
> настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут,
> то обновления не виноваты.

Как раз не так: свежий финальный дистр работает нормально, а в обновленном сразу вылязят те же косяки.

Более того - они "благополучно" переползли в новую мажорную версию - Debian-10.

Вот что с такими криворукими надо делать??

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

6. "Детский вопрос по обновлениям"  +/
Сообщение от Licha Morada (?), 24-Окт-19, 01:34 
>> ... Его машина запросто может попытаться атаковать вашу.
> Попытаться-то он может, только в этом и вопрос - как?
> Как, если он переберет сканером все 0...65535 и наткнется на глухую стену
> - ведь все входящие порты закрыты файрволом.

Это хорошая мера, но эту модель угроз она закрывает не полностью. Например: Удалённо эксплуатируемая уязвимость в Linux-драйвере для чипов Realtek (https://www.opennet.ru/opennews/art.shtml?num=51700). Апдейт ядра спасёт владельцев rtlwifi.

>> 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,....
> Этот способ угрозы понятен, но он опасен больше всего для Windows.
> Речь же идет о Linux - много ли для него существует подобных
> эксплоитов и т.п.?

Я предположу, что Windows стрёмнее в этом плане. Но не надо полагать что Linux абсолютно защищён. Например: Уязвимость в медиапроигрывателе VLC (https://www.opennet.ru/opennews/art.shtml?num=51161). Апдейт пакетов спасёт пользователей VLC 3.0.7.1.

>> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
> Но вот только от криворуких разрабов это не спасает - чем дольше
> времени проходит, тем больше система нахватается их кривых обновлений, и тем
> больше начинает хромать система.
> Вот я призадумался - на кой фиг эти "обновления", если они одни
> косяки удаляют, а новые прибавляют?

Действительно, модель "все козлы" позволяет предсказывать события в нашем несовершенном мире точнее чем хотелось бы. К сожалению, планировать что-то конструктивное по ней очень трудно.

Случаи бывают очень разные, общего ответа на вопрос "обновлять или нет" я дать не возьмусь. Но для этого конкретного примера, соображения которые я привёл существенны. IMHO.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Детский вопрос по обновлениям"  +/
Сообщение от Аноним (5), 24-Окт-19, 00:31 
>[оверквотинг удален]
> а на старый им уже наплевать.
> Вот я и подумал - а нужно ли вообще обновлять десктоп, который
> защищен роутером, если начальная финальная версия дистра своей работой меня вполне
> устраивает, а эти "обновления с косяками" мне совершенно до лампочки?
> Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму
> систему, ядра, systemd, и т.д., и т.п. - так ли уж
> обязательно ее обновлять?
> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.
> Причем навсегда :(

На локалхосте за натом риск еще выше за счет возможности эксплуатации изнутри (из браузера, из офисного пакета, из pdf-просмотровщика, и так далее).


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 24-Окт-19, 16:09 
>[оверквотинг удален]
> а на старый им уже наплевать.
> Вот я и подумал - а нужно ли вообще обновлять десктоп, который
> защищен роутером, если начальная финальная версия дистра своей работой меня вполне
> устраивает, а эти "обновления с косяками" мне совершенно до лампочки?
> Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму
> систему, ядра, systemd, и т.д., и т.п. - так ли уж
> обязательно ее обновлять?
> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.
> Причем навсегда :(

По моим наблюдениям обновляться лучше чем чаще тем лучше. Запускаю такую вот строку на ubuntu 18/04 два раза в день:
sudo apt update && sudo apt full-upgrade && sudo apt autoremove -y

за 1.5 года систему переставлял 5 раз.

Да linux тоже умирает, причем неожиданно. Один раз у меня такое было. Да косяки бывают при обновлениях. (Наверно кроме debian stable). поэтому я делаю резервное копирование файлов, два-три раза в день на отдельный съемный диск. И все серьезные проблемы решаю переустановкой (у меня это занимает минут 40).

Т.е. я к тому что не важно что вы делаете на своем компьютере. Важно то что он может умереть в любой момент (я имею в виду программную среду) и важно лишь время которое вы затратите на восстановление.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 24-Окт-19, 18:50 
Хм, отвечал Анониму, и мое сообщение ушло наверх и вряд ли кому видно, поэтому вынужден повторить его:

Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом?
Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы.

Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею:

- отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка;
- при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл"
- при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist"
- в трее пропал буфер Cliplt
- в трее перестал работать погодный индикатор
и т.д. и т.п.

Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет.
То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят.

Ну и на кой хрен мне нужны такие "обновления" ??

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 24-Окт-19, 21:32 
>[оверквотинг удален]
> файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does
> not exist"
> - в трее пропал буфер Cliplt
> - в трее перестал работать погодный индикатор
> и т.д. и т.п.
> Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле
> накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет.
> То, что они якобы улучшают, я в упор не вижу, зато прекрасно
> вижу, что они гробят.
> Ну и на кой хрен мне нужны такие "обновления" ??

Гм.., ну тогда хотя бы браузеры обновляйте их можно через snap ставить. Snap можно и в debian поставить. А так если вы ничего ценного на компе не храните (ну там логины от клиент-банков, ксерокопии паспортов и т.д.) то я думаю ничего страшного не случиться.
Тут ведь проблема в том что вас ломанет автобот и сопрет че-нибудь ценное. А у вас все как работало так и работать будет. Просто скажем доступ к файлам компа будет не только у Вас но и у половины интернета.
И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете, которые автоботы пытаються взломать в авторежиме. Поэтому linux желательно обновлять, в отличие от windows.
И кстати никакой nat вас не защитит, так как скорее всего ваш роутер уже давным давно взломан (вы же вероятно заняты чем-то важным и соответственно прошивку роутера вам обновлять некогда). А файрволл на вашем локалхост, соответственно не активирован (а зачем если вы за натом).
В общем я не удивлюсь, если ваши персональные данные(включая фото) уже давным давно используются для развода извращенцев на бабки на сайтах гей-знакомств


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 24-Окт-19, 21:44 
Ну, вы тут явно сгустили краски :)
И оставьте, пожалуйста,  в покое этот несчастный NAT, я его так, к слову упомянул, и теперь жалею.

Есть файрвол! Как на Дебе, так и на роутре - неужто мало?


> Поэтому linux желательно обновлять, в отличие от windows.

Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
Это явно что-то новенькое! :) Как и сомнительное.


> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете

Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!) в интернете" тем, что он сидит за роутером со своим файрволом.
А сервера в интернете увы, такого счастия лишены ;(

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 24-Окт-19, 22:36 
>[оверквотинг удален]
> И оставьте, пожалуйста,  в покое этот несчастный NAT, я его так,
> к слову упомянул, и теперь жалею.
> Есть файрвол! Как на Дебе, так и на роутре - неужто мало?
>> Поэтому linux желательно обновлять, в отличие от windows.
> Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
> Это явно что-то новенькое! :) Как и сомнительное.
>> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете
> Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!)
> в интернете" тем, что он сидит за роутером со своим файрволом.
> А сервера в интернете увы, такого счастия лишены ;(

Ну так вы же его не обновляете :)
Я про файрволл на дебе.
А прошивку на роутере давно обновляли?
А вы можете гарантировать, что ваш роутер уже не взломан?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 24-Окт-19, 22:38 
>[оверквотинг удален]
>> Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
>> Это явно что-то новенькое! :) Как и сомнительное.
>>> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете
>> Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!)
>> в интернете" тем, что он сидит за роутером со своим файрволом.
>> А сервера в интернете увы, такого счастия лишены ;(
> Ну так вы же его не обновляете :)
> Я про файрволл на дебе.
> А прошивку на роутере давно обновляли?
> А вы можете гарантировать, что ваш роутер уже не взломан?

И да сервер понятие растяжимое. Ваш роутер это и есть сервер который видно из интернета.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 24-Окт-19, 23:15 
> Ну так вы же его не обновляете :)
> Я про файрволл на дебе.

А чего его обновлять? (с) Его есть надо! :)  (из анекдота).

> А прошивку на роутере давно обновляли?
> А вы можете гарантировать, что ваш роутер уже не взломан?

Разумеется, обновляю, и гарантирую, т.е. рассчитываю именно на то, что роутер не взломан, иначе нет смысла говорить о необходимости (или наоборот) обновлений.

> И да сервер понятие растяжимое. Ваш роутер это и есть сервер который
> видно из интернета.

Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им лень.

Ладно, это уже несколько другая тема, а я веду к тому, что 1-й бастион защиты, т.е. роутер, будем считать невзламыевым.
Иными словами, "Жена Цезаря вне подозрений" ;)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 24-Окт-19, 23:49 

> Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого
> достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им
> лень.

Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию. Ну так роутеры месяцами работают без перезагрузки.

> Ладно, это уже несколько другая тема, а я веду к тому, что
> 1-й бастион защиты, т.е. роутер, будем считать невзламываемым.
> Иными словами, "Жена Цезаря вне подозрений" ;)

Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не женюсь)

Вот как раз потому, что вы считаете свой роутер невзламываемым, он в первую очередь должен быть под подозрением. Это же в сути обычный комп, просто с маленькой памятью и слабым процессором.
А теперь смотрите: на роутер прошивки выходят раз в несколько месяцев, причем на старые модели обычно забивают. т.е. если у вас в ядре на роутере уязвимость, закроют ее скорее всего через несколько месяцев.
На Debian и Ubuntu уязвимости закрывают обычно в течении суток.
Ну так вот если ваш роутер подвержен не закрытой уязвимости, он взламываеться за несколько минут. И зависит это лишь от того обратит ли бот внимание на внешний ip  вашего роутера или нет. Т.е. достаточно лишь одной дырки. После того как бот взломает роутер и установит на него свою копию, все члены внутренней сети будут взломаны в течении нескольких минут, если конечно на них не установлены последние обновления безопастности.
Запомните никакие настройки фаервола не спасут вас от ситуации когда в силу ошибок в ядре или драйвере, любой пакет попавший на ваш сетевой интерфейс превращаеться в исполняемый код с root правами. Только обновления безопастности закрывающую данную ошибку.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 25-Окт-19, 00:40 
> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию.

В смысле? Я имел в виду, что чистую прошивку записать  во флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его в тупое ПЗУ - ну и как его взломать?


> Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не  женюсь)

Шекспира как-то спросили:
- Какие женщины меньше изменяют - брюнетки или блондинки?
Он ответил:
- Седые!

Так что у вас есть еще шанс! :))

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Детский вопрос по обновлениям"  +/
Сообщение от cool29 (?), 25-Окт-19, 01:25 
>> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию.
> В смысле? Я имел в виду, что чистую прошивку записать  во
> флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его
> в тупое ПЗУ - ну и как его взломать?

Ну так ПЗУ же readOnly, а не ОЗУ.
Любой пакет попадает сначала на внешний интерфейс, затем копируется в буфер, который обычно находится в ОЗУ, далее этот буфер анализируется ПО роутера и затем пакеты либо отбрасываеться, либо передаеться получателю путем их копирования на другой интерфейс. Проблема в том что при уязвимостях, специальным образом сформированная группа пакетов может непредусмотренным образом перенестись из собственно буфера в область памяти какого либо процесса (иногда даже ядра) и выполнить свое тело в качестве исполняемого кода с root правами, что позволит создать новый процесс который займеться скачкой дополнительного кода с удаленного сервера и собственно его запуска. Невозможность же записи данного кода в ПЗУ, не означает невозможности его исполнения в текущем сеансе работы устройства.
Если же вы подразумеваете ОЗУ readOnly, ну я не слышал про такое. Какая та часть все равно должна быть доступна для записи,а значит там всегда могут быть данные сформированные таким образом, чтобы превратить себя в исполняемый процесс в результате ошибок в ПО роутера. Хотя наверно правильно сказать что: ПО роутера ,в результате наличия ошибок, превращает входящие данные(специальным образом сформированные пакеты)  в испоняемый код с root правами (хотя не всегда наверно нужен и root доступ, вполне достаточно и доступа к сетевым интерфейсам).

В общем любой роутер это всегда необновленный вовремя linux, выставленный голой попой в интернет.
Как не странно даже если его прошивка обновлена до последней версии, он всегда более уязвим, чем компьютер с debian на котором установлены последние обновления.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 25-Окт-19, 02:35 
> Ну так ПЗУ же readOnly, а не ОЗУ.

Об ОЗУ и речи не было, она шла о флеш-памяти, "запертой" специальной перемычкой, которая в этом случае ведет себя как настоящее ПЗУ.
Такая раньше часто встречалась на материнках компьютеров для защиты BIOS, но потом ее, как и все полезное, перестали ставить.
Ну или речь о ПЗУ.

А в целом вы меня, пожалуй, убедили в том, что Linux благодаря свои частым обновлениям должен быть менее уязвимым, чем роутер, о котором производители обычно быстро забывают.

Вот если бы еще эти обновления делались корректно, а не не через пень-колоду под пьяную руку или обкуренный моск...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 25-Окт-19, 18:21 
Спасибо за познавательную лекцию! :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Детский вопрос по обновлениям"  +/
Сообщение от Аноним (22), 26-Окт-19, 18:51 
>NAT
>защита

это так не работает, если у вас есть любые сервисы доступные извне (те же торренты), вам стоит ожидать, что их взломают и вероятность этого события намного выше со старыми версиями. сопутствующие необновлённые части системы будут использованы с теми же целями захвата контроля.

>роутер

взломают первым вообще не напрягаясь, а дальше заразят всё до чего доберутся.

>отвалится

дистропроблемы
>косяки

дистропроблемы

>защищен роутером

нет и ещё раз нет

>браузеры и некоторые веб

любые дыры в любом софте и библиотеках будут использованы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Детский вопрос по обновлениям"  +/
Сообщение от Шиловemail (?), 29-Окт-19, 20:15 
Застращали вы меня взломом роутера :)

Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже есть такой готовый?

Начну издалека. Когда  роутеров "в коробке" еще не было, только самодельные на "старом компе", приходилось выходить в Инете без защиты, напрямую, тогда был еще ADSL.

Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича:
- если кто-то извне пытался проникнуть в комп, в трее сразу всплывало предупреждающее окошко с указанием IP хакера и портов, которые он подбирает.

К сожалению, в новых версиях эту фичу убрали, а в других дистрах вообще такой не видел.

Может, есть такая же отдельная утилита?

Она бы мгновенно предупредила, если роутер взломали, или на каком-то компе в локалке завелся троянчик.


Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в риалтайме - месяц назад тихо взломали, а сегодня только обнаружил.
Нужна мгновенная реакция.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Детский вопрос по обновлениям"  +/
Сообщение от Licha Morada (ok), 29-Окт-19, 22:58 
> Застращали вы меня взломом роутера :)
> Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже
> есть такой готовый?

Обычно такая задача решается мониторингом. Маячок появляется на экране (дашборде) у операторов NOC, и/или высылается кому надо в форме алерта.

> Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича:
> - если кто-то извне пытался проникнуть в комп, в трее сразу всплывало
> предупреждающее окошко с указанием IP хакера и портов, которые он подбирает.

Звучит симпатитчно, но не практично. Ну, показали нам значёк, что теперь, всё бросать и бежать переписывать IP и порты в правила файерволла?

> Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в
> риалтайме - месяц назад тихо взломали, а сегодня только обнаружил.
> Нужна мгновенная реакция.

Наилучшее приближение к мнгновенной реакции будет у автоматизированной системы. В которой, в общем случае, необходимо описать критериии "на что реагировать" и конкретно "как реагировать".
И, да, держать эту автоматизированную систему на поддержке, что не халявно.

Если отмасштабировать решение "вниз", то я бы рекомендовал настроить на роутере какой-нибудь механизм типа fail2ban, чтоб он заносил брутфорсеров в чёрный список сам, после малого количества попыток. И чем-нибудь следить, чтобы не заблокировать кого-то нужного по ошибке. Например, у меня UptimeRobot периодически выбивается из ожидаемого паттерна и ловит бан.

Кроме того, можно слать логи по syslog на что-нибудь помощнее на обработку, если обнаружили что-то нехорошее, то генерировать алерт администратору. Когда тот придёт/проснётся, посмотрит сразу в нужное место. Для масштаба home-office должно быть уже приемлемо.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Детский вопрос по обновлениям"  +/
Сообщение от Шилов (?), 09-Ноя-19, 02:17 
Licha Morada:

Обдумал ваши предложения.
Да, они хороши для какой-нибудь корпоративной сети компании, которая может многое себе позволить из оборудования и софта.

У меня же ситуация намного проще: Роутер --> Компьютер --> Юзер

и бороться с попытками и вторжениями таким корпоративным подходом все равно что как из пушки по воробьям.

Попробую вариант попроще: установлю ESET.

В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться наружу.

Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Детский вопрос по обновлениям"  +/
Сообщение от Licha Morada (ok), 09-Ноя-19, 03:15 
> Попробую вариант попроще: установлю ESET.
> В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует
> в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться
> наружу.
> Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии.

Дело хозяйское.

Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в обход системного менеджера пакетов.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Детский вопрос по обновлениям"  +/
Сообщение от Шилов (?), 09-Ноя-19, 06:08 
> Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно
> быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных
> всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в
> обход системного менеджера пакетов.

Да, спасибо, именно всплывающие в риалтайме окна как раз мне и нужны, как (повторюсь) в Mandriva 2008, или в ESET.

Однако вряд ли их найду на английском, и так уже несколько лет потихоньку почитываю обзоры на русском, но они туда, похоже, не попадают.
Видимо, никому не нужны, всех устраивают обычные логи или лог-серверы, а жаль :(

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру