Възможно е, не съм се замислял ама примерно с busybox доста лошо фейлват.
Linux security-то много по-зле от това на макос и виндос ?!
gat3way Възможно е, не съм се замислял ама примерно с busybox доста лошо фейлват.
Аз полагам много големи усилия да не знам нищо за хахорщините, но съществуването на valgrind показва, че няма начин програма, която работи като потребител да не се излъже да вижда нещо друго, което потребителя иска да вижда. Ако можеш да сложиш LD_PRELOAD, можеш да излъжеш кой шел ще се пуска, оттам натакък я истинския busybox, я нещо дето да прилича на него...
Разбира се, може и да греша.
Ся тя може да се излъже по 1000 начина, може да я ptrace-неш примерно и да я накараш да направи нещо дето иначе няма да го направи, това е велик номер (но доста тривиален у виндовс света доколкото съм чувал). Истината е че по отношение на десктоп експириънса ако трябва да се прави сечено има безумно много начини да се направи, но другата истина е какво нещо стои като задклавиатурно устройство, може примерно да е рабин, а може и да не е. Гаранция и в двата случая естествено никаква.
gat3way Ся тя може да се излъже по 1000 начина, може да я ptrace-неш примерно и да я накараш да направи нещо дето иначе няма да го направи, това е велик номер (но доста тривиален у виндовс света доколкото съм чувал). Истината е че по отношение на десктоп експириънса ако трябва да се прави сечено има безумно много начини да се направи, но другата истина е какво нещо стои като задклавиатурно устройство, може примерно да е рабин, а може и да не е. Гаранция и в двата случая естествено никаква.
Да, затова бой по кратуните на хахорите, да отидат да се занимават с нещо по-полезно, като имплементирането на машина на Тюринг в game of life.
Ами това е хубава гледна точка и аз я споделям айде не на 100% ами на 80+ процента. Ама нека е така, защо повдигате такива теми изобщо даеба :)
gat3way Ами това е хубава гледна точка и аз я споделям айде не на 100% ами на 80+ процента. Ама нека е така, защо повдигате такива теми изобщо даеба :)
За да се намираме на приказка. В реалността на работа буквално имам собствена подмрежа, наречена |-land (където | е името ми), в която можеш да влизаш откъдето си искаш само с парола без никакви vpn-и и други глупости. Един колега, работил преди време в една от трибуквените организации и смятащ се за експерт по сигурността беше много възмутен и ми обясняваше как не е въпрос дали, а кога щели да ме хакнат. Сякаш ми пука. :)
Ся то има много секюрити гурута, както предполагам има и по бойните изкуства и физическото там секюрити, аз не разбирам нищо от бойни изкуства млатене колене ама само като ги гледам тея и ми изникват асоциациите със секюрити гурутата и мога да разбера като пълен лаик що за олигофрени се изживяват, както и да е. Нека си се радват хората, извън цялата шизофрения ВСЕ ПАК има и забавни неща, появяват се чат-пат, дори понякога да са прихванали добре от израждането, но пак са забавни, примерно оня със скапаните етернет кабели, нали, хвърли ме сериозно в размисъл пича, еми евала :)
gat3way Ся то има много секюрити гурута, както предполагам има и по бойните изкуства и физическото там секюрити, аз не разбирам нищо от бойни изкуства млатене колене ама само като ги гледам тея и ми изникват асоциациите със секюрити гурутата и мога да разбера като пълен лаик що за олигофрени се изживяват, както и да е. Нека си се радват хората, извън цялата шизофрения ВСЕ ПАК има и забавни неща, появяват се чат-пат, дори понякога да са прихванали добре от израждането, но пак са забавни, примерно оня със скапаните етернет кабели, нали, хвърли ме сериозно в размисъл пича, еми евала :)
А, аз не му противореча. казах му че знам, че ще ме хакнат и го уверих че няма никаква информация, която биха могли да откраднат. :)
Иначе той и още един като него са разделили сървър руума на клетки и трябва да имаш ключове да имаш физически достъп до някои от сървърите. :)
Ами много правилна стратегия е това мен ако питаш, некой идиот ако иска да строши нещо ще го строши в крайна сметка без значение колко зор се дава, въпроса е да не намаже особено от цялата работа, обаче нещата поради някаква странна причина не работят точно така и това е забавно, предполагам обаче рано или късно ще си дойде на мястото, защото това всичкото е някаква безсмислена мастурбация от която нема никаква файда.
gat3way Ами много правилна стратегия е това мен ако питаш, некой идиот ако иска да строши нещо ще го строши в крайна сметка без значение колко зор се дава, въпроса е да не намаже особено от цялата работа, обаче нещата поради някаква странна причина не работят точно така и това е забавно, предполагам обаче рано или късно ще си дойде на мястото, защото това всичкото е някаква безсмислена мастурбация от която нема никаква файда.
Навремето много се дразнех на такива, но сега са ми забавни, дори им подхранвам параноята като се сетя за някой начин да им пробият сигурността. :)
Dr.Who Значи заразявам линуха на Рабин и вече имам достъп до всичките му файлове в home директорията. След това едно LD_PRELOAD и вече имам достъп до паметта на всичките му програми.
Чакай сега, ти приемаш за предпоставка това, което трябва да се постигне. Много ясно, че ако заразиш компютъра на Рабина, ще имаш достъп до файловете му.
А ако не го заразиш, няма да имаш достъп до файловете му.
Тя вселената така работи по принцип.
Единственият начин да се избегне това е да направиш така, че Рабина да няма достъп до собствените си файлове. Аз лично не бих искал да работя на такава ОС. Сигурен съм, че и Рабина не иска.
П.П. А статията си е тъпа и предвзета.
gat3way За съжаление, целия тоя бизнес със секюритито вече е толкова изроден и малоумен че човек трябва да го е срам не просто ако работи там ами ако някога въобще е работил. То вече дори не става въпрос да се продава паника или да се брандират уязвимости или да се събмитват на конвейер 100 безумни obscure глупости зор заман за 5 от тях да начислят CVE че да си има нещо в портфолиото. Всичко е някакъв безумен шум и колкото по-истерично и скандално се шуми толко по-яко, а разсъдък елементарен всякакъв оставете (парадоксално все пак има все още, рядко де). Тази статия специално не е нещо особено различно от останалия истеричен шум, да ebpf ужас, да добре, в това няма фантазия никаква, ами да се върнем 25 години назад, LKM е ооо ужас ооо ужас....ъъъъ същата работа. Немало читав sandboxing - огромна изненада, верно няма, разбира се отново никаква фантазия - навремето един полски траверс не просто предложи ами тръгна и направи операционна система където отдолу е хипервайзор и всеки апликейшън е domU и кво - революционната идея не се възприе, що така бе - те ти ИСТИНСКИ sandboxing, ама явно на никой не му пука за тва и след като на никой не му пука, следователно това е единствено думкане на тъпана и сервиране на претоплени манджи.
стига де, то почти всички компютърни бизнеси са така, не е срамно да доиш балъчориата, ако ти не им земеш парите, ще го направи друг тарикат, срамно е само да си вярваш че правиш света "по-добър". във фейсбук групата (която напуснах) беше пълно с ентусиазиръни олигофрени които никога не са живели в свят без компютри и искрено вярваха че всички неща, вкл и кухненския нож, работят защото в тях цъка някво компютърче с линукс, и за товапрограмистите сме най-важните на света. разбира се всички такива вземаха присърце "проблема" с "няма хора" и се надпреварваха да раждат глупави идеи как да осигурим повече програмисти на пазара на труда,защото това е пътя към всеобщия просперитет на българия. за щастие идеите им не работят.
Така, както ги описваш звучат, като пълни олигофрени, а следенето на тая гтупа голяма забава. Звучи ми, като да страдат от заблудата че ако имаш само чук, всичко наоколо ще ти се вижда, като пирони.
И аз инам такива познати - да бе, дай да направим поливането на цветята в офиса с Ардуино. Викам, то поливането на 3 саксии не е, като копането на един декар картофи. Какво ти пречи вечер с едно шише от кола да ги обиколош, да прецениш колко вода да сипеш, ако е било много жега или облачно, да махнеш изсъхналите листа и падналите цветове, да прегледаш за листни въшки, да разровиш пръстта, ако трябва, да вържеш увисналите клони, да ги завъртиш към слънцето, ако трябва.
Сигурно изглеждам, като назадничав селтик-аграр, дето спъва прогреса. Мисля да почна да одя с кЕскет и шаячени панталони с ръб.
е те повечето не бяха такива, но понеже членската маса е голяма се намираха достатъчно
Не става бате, каскета са му викат гешовка и на гол череп се носи вместо едно време дебелия позлатен ланец, един вид "кой си ти бе мама ти знаеш ли кой съм аз и че баджанака е полицай и а си ми казал нещо накриво а те е спрял 20 пъти за хлабав колан, внимавай в картинката цървул".
gat3way Ся тя може да се излъже по 1000 начина, може да я ptrace-неш примерно и да я накараш да направи нещо дето иначе няма да го направи, това е велик номер (но доста тривиален у виндовс света доколкото съм чувал). Истината е че по отношение на десктоп експириънса ако трябва да се прави сечено има безумно много начини да се направи, но другата истина е какво нещо стои като задклавиатурно устройство, може примерно да е рабин, а може и да не е. Гаранция и в двата случая естествено никаква.
Кво ще рече това?
Dr.Who Delegate Значи, ако напиша библиотечка, дето имплементира да кажем malloc и free и я презаредя с LD_PRELOAD, после всички ще минават през мойте malloc/free, така ли?
Не всички, но едно доволно количество програми, които пускаш с кликане на мишката.
Вие за env не сте и чували? Как ще стане с всички, ще го презаредиш от млечният път?
Дон Реба gat3way За съжаление, целия тоя бизнес със секюритито вече е толкова изроден и малоумен че човек трябва да го е срам не просто ако работи там ами ако някога въобще е работил. То вече дори не става въпрос да се продава паника или да се брандират уязвимости или да се събмитват на конвейер 100 безумни obscure глупости зор заман за 5 от тях да начислят CVE че да си има нещо в портфолиото. Всичко е някакъв безумен шум и колкото по-истерично и скандално се шуми толко по-яко, а разсъдък елементарен всякакъв оставете (парадоксално все пак има все още, рядко де). Тази статия специално не е нещо особено различно от останалия истеричен шум, да ebpf ужас, да добре, в това няма фантазия никаква, ами да се върнем 25 години назад, LKM е ооо ужас ооо ужас....ъъъъ същата работа. Немало читав sandboxing - огромна изненада, верно няма, разбира се отново никаква фантазия - навремето един полски траверс не просто предложи ами тръгна и направи операционна система където отдолу е хипервайзор и всеки апликейшън е domU и кво - революционната идея не се възприе, що така бе - те ти ИСТИНСКИ sandboxing, ама явно на никой не му пука за тва и след като на никой не му пука, следователно това е единствено думкане на тъпана и сервиране на претоплени манджи.
стига де, то почти всички компютърни бизнеси са така, не е срамно да доиш балъчориата, ако ти не им земеш парите, ще го направи друг тарикат, срамно е само да си вярваш че правиш света "по-добър". във фейсбук групата (която напуснах) беше пълно с ентусиазиръни олигофрени които никога не са живели в свят без компютри и искрено вярваха че всички неща, вкл и кухненския нож, работят защото в тях цъка някво компютърче с линукс, и за товапрограмистите сме най-важните на света. разбира се всички такива вземаха присърце "проблема" с "няма хора" и се надпреварваха да раждат глупави идеи как да осигурим повече програмисти на пазара на труда,защото това е пътя към всеобщия просперитет на българия. за щастие идеите им не работят.
Айде ся, ти правиш некакви визуални циркове които не ги разбирам как работят, но ако не друго изглеждат впечатляващо, а това какво е - мастурбация която си изглежда като мастурбация, в най-добрият случай освен ако не си некакъв див мастурбатор там, не трябва да вземаш нищо от тия неща насериозно, щото иначе е хаха.
Дон Реба разбира се всички такива вземаха присърце "проблема" с "няма хора" и се надпреварваха да раждат глупави идеи как да осигурим повече програмисти на пазара на труда,защото това е пътя към всеобщия просперитет на българия. за щастие идеите им не работят.
от твоето уста в божието уши
Идеите работят с едно малко проблемче - изкарват се пак толкова програмисти и много повече "програмисти"