https://www.opennet.ru/openforum/vsluhforumID3/53600.html В начале апреля в Linux ядре 2.6.28 без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu (http://www.ubuntu.com/usn/usn-751-1) и RedHat (http://rhn.redhat.com/errata/RHSA-2009-0331.html) как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к тривиальным DoS уязвимостям, недолго думая написал (http://kernelbof.blogspot.com/2009/04/kernel-memory-corruptions-are-not-just.html) работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя. <br><br><br>По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как вероятно серьезность их сильно приуменьшена.<br><br>URL: http://kernelbof.blogspot.com https://www.opennet.ru/openforum/vsluhforumID3/53600.html#132 Thu, 07 May 2009 17:49:38 GMT Вам не показалось, что новость не про SCTP, а про замалчивание критичности уязвимости?<br> https://www.opennet.ru/openforum/vsluhforumID3/53600.html#131 Thu, 07 May 2009 13:29:06 GMT &gt;во всяких домонетах - да, используют. но претензии просты: <br>&gt;1)pf - это только пакетный фильтр(как следует из названия) и никаким местом <br>&gt;не МСЭ <br>&gt;2)pf знает о sctp только то, что он такой протокол с соотв. <br>&gt;номером. всё.<br><br>Ага. А ещё PF может IP-пакеты, обёрнутые в этот (и другие ~250) протокол, пробрасывать их на другие интерфейсы или же занося такие пакеты в лог.<br><br>&gt;обрабатывать внутренности sctp он не умеет.<br><br>А надо? Как? PF не работает на сеансовом уровне, кроме как отслеживая (keep state) состояния соединений. Ну может он дропнуть IP-пакеты SCTP или ограничить полосу пропускания (зашейпить в ALTQ), дальше -- дело исключительно приложений.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/53600.html#130 Thu, 07 May 2009 11:51:32 GMT &gt;&gt;http://tools.ietf.org/html/rfc3286 <br>&gt;<br>&gt;http://bgp.potaroo.net/ietf/idref/draft-ahmed-lssctp/ <br>&gt;<br>&gt;хотя, тут уже от реализации зависит. у циски есть =) <br><br>У циски много чего есть. Запатентованного особенно, типа VRRP.<br><br>&gt;[оверквотинг удален]<br>&gt;видимо, вы не сталкивались с тем, что элементарные изменения в congestion control <br>&gt;приводили к разнице результатов в разы. <br>&gt;<br>&gt;&gt;Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A. <br>&gt;<br>&gt;застегиваются =) Ради EAP уже стоит заморачиваться. <br>&gt;<br>&gt;&gt;Вы про такую вещь как latency в курсе? <br>&gt;<br>&gt;более чем. и? <br><br>Вот и считайте, сколько займёт прочкачка туда-сюда _множества_маленьких_потоков_. А не одного непрерывного.<br><br>&gt;&gt;Я пока знаю только об одном криптоакселераторе на PCI Express от Sun. <br>&gt;&gt;Последний раз когда я интересовался, он стоил порядка $1500. Насколько он <br>&gt;&gt;эффективен и работоспособен вообще не в курсе. Так что единственный толковый <br>&gt;&gt;акселератор пока что остётся Via C3. <br>&gt;<br>&gt;вы вот https://www.opennet.ru/openforum/vsluhforumID3/53600.html#129 Thu, 07 May 2009 11:38:19 GMT [много-много слов]<br><br>Так я не понял, вы кому о траблах в винде рассказываете, и с кем спорите? С собой, что ли? :)<br><br>&gt;&gt;Барыжат-барыжат. Просто *nix обычно ценятся больше. <br>&gt;<br>&gt;Да что-то не вижу особо.В отличие от.А если больше ценится - гм, <br>&gt;тогда проще легальный VDSник купить.С поддержкой и все дела и не <br>&gt;накроют внезапно в неподходящий момент :) <br><br>На легальном VDS-нике всё равно не будет легальным устраивать DDoS и прочие радости. ;)<br><br>&gt;&gt;Боюсь, вы отстали от жизни. ;) <br>&gt;<br>&gt;Хорошо, тогда скажите как в вашем понимании должен выглядеть идеальный ботнет и <br>&gt;примеры реализации желательно.С пруфлинками и т.п. :) <br><br>Да в общем-то последние заразы, гуляющие по инету, одна другой краше. Тот же Conficker сейчас завалить весьма сложно, за счёт распределённой структуры. Эволюция, панимашь, уже первые многоклеточные.<br><br>Помните где-то с год назад в каком-то банке обнаружили небольшой зоосад, который без палева работал несколько месяцев? :) Могу ссылок накидать, но гугл, думаю, у вас не медленнее моего работае https://www.opennet.ru/openforum/vsluhforumID3/53600.html#128 Thu, 07 May 2009 11:22:44 GMT &gt;Я знаю людей, которые держат всё или почти всё на Винде, и <br>&gt;у них проблем нет. Но это действительно специалисты, а не <br><br>Знаете, специалистов которые реально понимают как работает активная директория например - по пальцам пересчитать.А остальные бездумно жамкают кнопочки.До поры до времени жамкают.У них все хорошо - до тех пор пока сбоев нет.И пока они никому не интересны в плане хака.А представляете себе например засер схемы активной директории на паре сотен DC раскиданых по филиалам в тутуево?И чего админам делать если они вовремя не просекли что дело дрянь?Стреляться?Представляете себе перестройку инфраструктуры отращиваемой годами с нуля в пожарном порядке? :D.Да и в крейсерском режиме - микрософт создавал свои протоколы в рассчете на что угодно.Только не на суровые реалии.А суровые реалии таковы что микрософтовские протоколы типа RPC очень непросто пропихнуть через NAT или файрвол.Ну, ладно, вроде у них VPN есть.Проблема только в том что PPTP всякие тоже через наты и фаеры не больно то хорошо лезут.<br> https://www.opennet.ru/openforum/vsluhforumID3/53600.html#127 Thu, 07 May 2009 06:41:26 GMT &gt;&gt;Пока нет.<br>&gt;<br>&gt;Как-нет?Виндовыми 2003 барыжат во всю, т.е потенциально это ресурс вполне себе интересный <br>&gt;криминалам.Пингвинов сравнимые количества.Ими в сравнимых количествах не барыжат.Зато хостеров с вдс <br>&gt;нынче-хоть попой жуй.И, видимо, за них платят раз хостеры появляются как <br>&gt;на дрожжах. <br><br>Я знаю людей, которые держат всё или почти всё на Винде, и у них проблем нет. Но это действительно специалисты, а не <br><br>&gt;студенты и даже неглупые школьники.<br><br>Систем на *nix, которые защищают неспециалисты, заметно меньше. В том числе потому, что, как вы сами выражаетесь, никсы способству развитию мозга. Проще найти незащищённую систему на винде, чем на *nix. Поэтому и криминальный интерес в данный момент нацелен в сторону винды. Будет популярен Linux =&gt; больше людей, в нём не разбирающихся, будет в нём работать (и ставить на нём сервера) =&gt; больше будет криминальный интерес.<br><br>Понятно, что интерес к отдельным серверам на *nix может быть высок. Но если говорить о тенденциях, винду пока что ломают намного охо https://www.opennet.ru/openforum/vsluhforumID3/53600.html#126 Wed, 06 May 2009 22:51:00 GMT &gt;Пока нет.<br><br>Как-нет?Виндовыми 2003 барыжат во всю, т.е потенциально это ресурс вполне себе интересный криминалам.Пингвинов сравнимые количества.Ими в сравнимых количествах не барыжат.Зато хостеров с вдс нынче-хоть попой жуй.И, видимо, за них платят раз хостеры появляются как на дрожжах.<br><br>&gt;Сервера хорошо защищаются специалистами, поэтому их взломы _относительно_ редки.<br><br>Ой, я знаю ораву народа с VDSами и прочая.Половина - студенты и даже неглупые школьники.И ничего, почему-то у них ничего не ломают.Было бы с виндой - ну понятно что было бы.Винды высунутые в сеть требуют караульных мероприятий.Или становятся источником заразы.<br><br>&gt; А доля *nix на рынке десктопов (за вычетом MacOS X) пренебрежительно мала. <br><br>Зато доля серверов - очень даже.И виндовые сервера - ломают(могу пруфлинков дать на форумы кульхаксоров которые ими барыжат).А *nix'овые почему-то в таких количествах не продают.Более секурные дефолты и особенности софта?Ну и наверное sysrem-wide апдейт софта портит хакерам малину.На винде достаточно на https://www.opennet.ru/openforum/vsluhforumID3/53600.html#125 Wed, 06 May 2009 13:12:34 GMT &gt;&gt;Сношал, угу. А программер, значит, расслаблялся пока код писал? :) <br>&gt;<br>&gt;Видимо что-то типа того.А это с людьми вообще бывает.Они вон не могут <br>&gt;правильный движок выключить когда от этого зависит их жизнь и жизнь <br>&gt;сотни с лишним пассажиров за спиной.А ты хочешь чтобы они были <br>&gt;точны как часы со всеми буфферами :) <br><br>Ну так их-то, в отличие от пилотов, никто не торопит с коммитами ;)<br><br>&gt;&gt;ОС сами не могут анализировать собственный код, то либо пусть просят <br>&gt;&gt;кого-то помочь ("дяденька, я тут функцию написал, а мне сказали, что <br>&gt;&gt;она неправильная, проверьте, пожаааааалуйста"), либо пусть идут писать банк-клиенты. <br>&gt;<br>&gt;Дык это... если дыру нашли, значит, кто-то помог это сделать?! <br><br>Угу. Правда, его не просили. ;) Это как соседка заходила: "а чего у вас дверь в квартиру открытая уже несколько часов, всё в порядке?".<br><br>&gt;&gt;Возможно. <br>&gt;<br>&gt;Ну, лично я - за отсутствие капканов в дефолтах.А не за документацию <br>&gt;капканов. <br><br>Эх, покажите мне такую систему, в которой нет капканов&#8230; ;)<br><br>&gt;&gt;Можно сказ https://www.opennet.ru/openforum/vsluhforumID3/53600.html#124 Wed, 06 May 2009 11:28:40 GMT &gt;Да. <br><br>Сорри, значит так получилось.Это не специально :)<br><br>&gt;Вот с ними об этом и флудите. <br><br>С ними неинтересно, у них мозг промытый агитаторами джобса.Более промытый он наверное разве что у шахидов каких-нибудь :\.А может они просто настолько тупы что сами думать не умеют.Умеющие использовать мозг юзеры мака - не столь уж частое явление.Чаще это креатиФФные личности.При том зачастую креатиФФность зачастую компенсируется тотальной отключкой мозга в других областях.<br><br>&gt;Вы историю не на 5 лет назад мотайте, а на 25. <br><br>А 25 лет назад вирусы вообще всерьез никто не воспринимал имхо :).Так, шутки програмеров.И системы были без учета этой напасти в массе своей.Особенно десктопные.<br><br>&gt;А что вы доказывали-то? Что ошибки есть везде? Так с этим-то никто <br>&gt;не спорил. <br><br>Тогда какой смысл пенять на дыры и их существование?Их скорее всего есть везде.<br><br>&gt;Это, конечно, в любом случае плохо. Но когда это касается весьма чувствительных <br>&gt;компонентов _ядра_ОС_, такое отношение, ИМХО, недопустимо. Здесь ошибок не прощаю