והפעם בשרת ה-IRC הפופולרי UnrealIRCd.

...
בהודעת ההתנצלות הודיעו המפתחים כי הם מתייחסים לכך במלוא הרצינות, וכי
כאמצעי בטיחות יחזרו לחתום את ההפצות שלהם במפתחות PGP. עוד ציינו שם,
כי הגירסאות שהודרו (קומפלו) מראש לסביבת Windows של התוכנה - לא הושפעו.

מקור: http://www.ynet.co.il/articles/0,7340,L-3904950,00.html

זה מה שקורה כשמשתמשים במערכות הפעלה לא מאובטחות. מזלם של אלה שהשתמשו
בווינדוס ולא הושפעו.

לא, זה מה שקורה למי שמשתמש בחבילות ממקורות לא ידועים בלי לאמת חתימות דיגיטליות מול המקור. אני במקרה משתמש בשרת הזה כאן בפרש, ובמקרה בדיוק חשבתי לשדרג לגירסה האחרונה (מבלי שהגיעה הידיעה על הנ"ל אלי), ומערכת ניהול החבילות שלי איתרה את הגירסה שאליה דחפו את הסוס הטרוייאני הזה, והיא סרבה להתקין אותה והתריעה על כך... מאוחר יותר קיבלתי מייל מרשימת התפוצה שהוא המקור לכתבת Ynet הנ"ל.

הרצת תוכנה שאין לך ידע מה היא עושה ממקור שאינו מוסמך לא מראה על בעייה במערכת ההפעלה, אלא על בעייה במשתמש, ולא משנה אם מערכת ההפעלה היא הכי לא בטוחה בעולם (חלונות ושות') או הכי בטוחה בעולם (כנראה OpenBSD?). ציינו Ynet נכונה (מפתיע, אני חייב להודות), שגם מי שהיה טמבל ונדבק כי הוא לא בודק את המקורות שמהם הוא מתקין, שגישת הסוס הטרוייאני היא למשתמש שמריץ את התוכנה בלבד - בברירת מחדל מדובר במשתמש עם הרשאה לעשות בערך... כלום. השווה זאת לסוסים טרוייאנים בחלונות ששנייה אחרי שהרצת אותם:

1. דף הבית שלך מתחלף למנוע ריגול
2. כל מקש שאתה לוחץ עליו מוקלט ונשלח למאן דהוא
3. כל פרטי ההסטוריה שלך, חשבונות בנקים, אימייל, פייסבוק וכו', כנ"ל
4. המחשב שלך הופך לזומבי שמשתתף בהתקפות DoS וספאם על אנשים תמימים, כשהריקושטים - כמובן בחזרה לכיוון שלך...
5. לא תהיה בטוח עד שלא תמחק את כל המחשב ותתקין את המע"ה מחדש.

נשמע שבחלונות הרבה יותר משתלם לתפוס איזה טרוייאני, לא?

נמאס לכם לזכור סיסמאות? לחצו כאן!

הקוד הנגוע מאפשר לאדם אחר להריץ פקודות על המחשב שלך, אבל רק ברמת ההרשאה איתה רצה התוכנה המדוברת.
והיות ואין שום סיבה להריץ שרת IRC תחת חשבון ROOT, ולמעשה, מערכת ההפעלה לינוקס מדרבנת אותך שלא להשתמש יתר על המידה בחשון זה (לעומת רוב גירסאות חלונות, שם המשתמש הוא באופן אוטומטי ברמת ADMIN), הרי שהפגיעה האפשרית הינה זעומה ביחס לתוכנה מקבילה תחת חלונות.

חברי כנסת ישרים

הרצת קוד זה דבר אחד; PE זה דבר אחר. לא כתבתי בשום שלב שמדובר ב-PE, ככה שלא חידשת כלום...

ציטוט:

זה מה שקורה כשמשתמשים במערכות הפעלה לא מאובטחות

היות ואין דרך למנוע הרצת קוד זדוני שהוכנס לתוך תוכנה שהורדה ממקור לא רשמי, ומבלי להשוות אותה לחתימה הדיגיטלית, אם פורסמה על ידי אותו מקור, והיות ואין זה תקפדי מערכת ההפעלה לעשות פעולה זו, הרי שטענות בנוגע לרמת האבטחה של אותה מערכת הפעלה קשורה, באופן ישיר, באפשרות של קוד לרוץ בהרשאות שלא ניתנו לו (או חינוך משתמשיה שהמשתמש ברירת המחדל של המערכת עליו מריצים את כל האפקליקציות הוא ברמת מנהל מערכת).

חברי כנסת ישרים

כפי ששימי אמר, אדם שמתקין חבילות ממקור לא ידוע לוקח את הסיכון חלונות או קוד פתוח זה לא באמת משנה ואכן בלינוקס לא עובדים ברמה של root כל הזמן אלא עם משתמש מוגבל בלבד רוב הזמן בניגוד לרוב הגירסאות של החלונות. הפעמיים היחידות, שהייתי חייב להתחבר מהחשבון של root בצורה מלאה, היו בשביל התקנות ופעולות, ש sudo ו su לא מאפשרות מהחשבונות המוגבלים , אחרת אין שום סיבה לעשות זאת.

will you marry me nesli barda? Operating system: Linux The day Microsoft & apple makes a product that does not suck will be the day they start making vacuum cleaners. say no to Apple&Facebook&MS&Samsung IL&Nokia&Hot&Yes,but say yes to Google

באיזו הפצה של לינוקס ליברמן משתמש?

את השאלות האלה תשמור ל20+ או מה שבראש, כי זה לא קשור לעניין ולא לדיון.

will you marry me nesli barda? Operating system: Linux The day Microsoft & apple makes a product that does not suck will be the day they start making vacuum cleaners. say no to Apple&Facebook&MS&Samsung IL&Nokia&Hot&Yes,but say yes to Google