Slammer-mato kuormittaa Internetiä

-AI joku päivä? Käyppä esim täällä:

https://rhn.redhat.com/errata/rh8-errata-security....

Erilaisia tietoturvapäivityksiä 22 kpl viimeisen 13 päivän aikana!!!

Kyllä jää MS kauas jälkeen näistä bugimääristä (esim tämän vuoden alusta julkaistu 4 kappaletta eri tuotteisiin yhteensä).

Luonnollisesti koska MS:n softat ovat laajemmassa käytössä, mahdolliset bugit saavat a) enemmän hyökkäyksiä osakseen, b) enemmän julkisuutta ja c) suuremman jakauman erilaisia adminineja vastaamaan purkeista.

Jos yli puoli vuotta sitten tullutta patchia ei ole vieläkään asentanut, saa kyllä syyttää itseään.

Huomaa se, että tässä listassa on sekalaisia ohjelmia joita Redhat "tukee". Jos kaikki Windows-ohjelmien bugit listattaisiin samaan listaan, uskon että siellä on enemmän kuin 4 kappaletta tämänkin vuoden alusta. Ei siinä että tämä mitenkään mihinkään liittyisi, tai että Linux ohjelmat olisivat bugittomia. Vain huomio.

Tässä kyseisessä jutussa ei pidä syyttää Microsoftia koska korjaus on jo julkistettu. Mutta jos ne ei olisi vieläkään julkaissu patchia asiaan, niin silloin voisi syyttää Microsoftia. Yrityksille vain tiukemmat ylläpito-säännöstöt ja sillä näistäkin selvittäisiin (ehkä).


-V

microsoftia voi kuitenkin syyttää tiedotuksen puutteellisuudesta ja koko systeemistä jolla päivityksiä suoritetaan...

Ensinnäkin
a) Jokainen vähänkin itseään kunnioittava MS admin kuuluu MS security bulleting postituslistalle, jolloin noista ongelmista ja päivityksistä saa tiedon jopa aikaisemmin kuin CERTiltä. Kuin myös ohjeet päivityksiin.

b) MS on tämänkin hoitanut mallikaasti siten, että se ei pakkosyötä näitä tiedotteita asiakkaileen, vaan sen voi jokainen käydä itse tilaamassa halutessaan.

c) Jos MS adminit tällaisesta palvelusta ei tiedä, niin lopputili. Itse en edes ole MS admin ja silti olen tiennyt tästä palvelusta jo kauan ja löytyy muuten MS sivuja tutkimallakin melkoisen helposti.

Eli tietottamisen puutteesta se ei ole kiinni, vaan MS adminien osaamattomuudesta tai halottomuudesta hoitaa työtehtäviään kunnolla.

Minä kun luulin, että Windowsin etu Linuxiin oli juuri siinä, että Windows-hommat sujuvat vähemmälläkin osaamisella. Onko sitten niin, että tämä osaamattomuus heijastuu huonontuneeseen tietoturvaan?

Hmm..kuuluisa sanontahan menee että tietoturva*käyttömukavuus=vakio. Eli jos jompaakumpaa nostaa niin toinen kärsii automaattisesti. Windowsissa kun on tohon käyttömukavuuteen panostettu liikaakin...

Jaa eli jos tietoturvaa lisätään, käyttömukavuus laskee automaattisesti ? Samalla voidaan todeta että käyttömukavuutta heikentämällä saadaan tietoturvaa lisää. Lisäksi, jos koko tietoturva tai käyttömukavuus poistetaan (0) yhtälö muuttuu epätodeksi..

Niinpä. Mut miten voit poistaa käyttömukavuuden tai tietoturvan? Siis esim. pakotetaan käyttäijää käyttämään yli kahdeksanmerkkisiä salasanoja joissa on myös numeroita se tuo lisää tietoturvaa, mutta laskee käyttömukavuutta sillä että käyttäijen pitää muistaa monimutkaisia ja pitkiä salasanoja.

Näinhän se tietysti on:

http://news.com.com/2100-1001-982305.html

Jälleen kerranko Linux on vain kerneli?
Sittenhän on helppo tehdä vertailu Windowsin ja Linuxin välillä.
Windowsin mukana tulee läjä softaa mutta Linuxin mukana vain kernel.

Kumpikohan sitten nyt on parempi?

Entäs jos Red Hat paketoisi vaikkapa Internet Explorer selaimen distribuutioonsa Winellä ajettavaksi ja siitä löytyisi tietoturvareikä niin laskettaisiinko se Linuxin sekä Windowsin reiäksi vai pelkästään jommaksi kummaksi? Niin ja miksi näin tehtäisiin?

Jos näin tyhmään juttuun pitää edes vastata ...
Huomaa että lähdet vertailemaan sitten
Linuxia (kernel) ja Windowssia (kernel)
Eli kerneli se löytyy myös Windowssista, mitä
voidaan pitää myös itse Windowssina.

nooh... minäpä en.

Minä annan ääneni sille kernelille. Joku toista mieltä oleva kertokoon miksi se kernel on hänen mielestään huonompi valinta ;-)

Lisäksi niitä potentiaalisia bugeja löytyy tekijöiden itse softiaan lisää koodatessa/sen koodia läpikäydessä ja omia virheitään huomatessa. M$ tai kovin moni muukaan firma tuskin tiedottaa tuollaisista bugeista saati julkaisee heti päivitystä vaan antaa jonkun muun löytää ilman sitä koodia ja korjaa sitten kun joku valittaa.

Nooh täytyy muistaa, että kuinka paljon noilla
on tekemistä itse Linux/Windowssin kanssa.
Jos joku softa on buginen, niin onko se Linuxin/Windowssin vika...?
Nojooh ... joillekin Linux on pelkkä ydin toisille
kokonaisuus.

Täytyypä taas muistuttaa että tuossa listassa mikä menee Red Hatin piikkiin on suurin osa ohjelmia mitkä on vaan paketoitu distribuution mukaan eikä Red Hatilla sisänsä ole niitten kanssa mitään tekemistä. Vastaa sitä kun Windowsin mukana tulisi n+5 CD:tä kaikennäköistä Windows softaa ja niiden tietoturva aukot laskettaisiin mukaan Windowsin bugi/tietoturva listaan.

Täh, nyt kyllä tipahdin..
Eikös mikkisoftan käytönestojärjestelmissä ole joku tuommoinen update myös.. Vai olenko väärässä?

Jos en ole, niin mistä tuommoinen äkillinen herppaantuminen?

PS. Se kirjoitetaan muuten Debian-pelle..

Automaaginen update on, mutta se ei suinkaan kata palvelinohjelmistoja, ainoastaan Windowsin itsessään ja tärkeimmät lisäkrumeluurit kuten Windows Media Playerin ja Internet Explorerin.

No huhhuh. Ei täällä kukaan ole *missään vaiheessa* puolustellut matoja, krakkerointia jne. Luuletko tosissasi, että sektorin kommentoijat ovat jotain skirpitkakaroita ja kräkkereitä? Ehei.

Ainakin me ylläpitjät älähdämme näistä asioista siksi, että kun kerran vihulaisten tehtailua ei saa poistumaan pitäisi mielummin keskittyä poistamaan ongelmaa sieltä missä ongelman poiston onnistumien käytännössä on realistisempaa. Siitä tässä on kyse.

Nuo vihulaiset meinaan lisäävät myös niiden ylläpitäjien paineita ja työtaakkaa joiden järjestelmiin madot sun muut eivät ole tarttuneet.

Minä en ainakaan halua rangaista ketään, pikemminkin herätellä, sillä samassa veneessä olemme kaikki joilla on koneita julkisessa verkossa kiinni.

Tuo pitää kyllä joltakin osin paikkansa, mutta kyllä mielestäni päivitykset pitää saada hoidettua muutamassa kuukaudessa. Jos ei saada, niin silloin on a) ylläpito välinpitämätön tai b) henkilöresursseihin on firmassa panostettu aivan liian vähän kun paikkoja ei saada nopeassa ajassa asennettua siitä syystä, että ylläpito on ylityöllistetty.

Mitä luin kuvauksista miten tuo asennetaan, niin ei tuo nyt mitenkään kummallinen ollut asentaa. Ei vanhojen tiedostojen talteen kopioinnissa ja uusien kopioinnissa niiden tilalle, palvelun uudelleenkäynnistyksessä tai rebootissa nyt mitään kovin ihmeellistä ammattilaiselle pitäisi olla.

Ei oikein ole verrannollinen tämäkään analogia. Kyllä ylläpitäjät tietävät riskit ja muutama kuukausi aikaa hoitaa homma riittää ihan hyvin ellei sitten ylläpitohenkilöstö ole muutenkin *todella* äärimmäisyyksiin asti ylityöllistetty.