Linux ha entrado en competición en la Pwn2Own 2017 representado por Ubuntu, su distribución más popular, y ha caído abatido por los cazadores de vulnerabilidades en el primer día de la conferencia debido a un fallo detectado en el kernel. Un error de desbordamiento de buffer con escritura fuera de los límites (out-of-bounds) que ha descubierto el equipo chino Chaitin Tech, y por el que han recibido un premio de 15 000 dólares. Como veis en la imagen que abre el post, para ilustrar el ataque eligieron la aplicación de […].
|
etiquetas: ubuntu , hackeado , pwn2own , pwn2own 2017 , chaitin tech , linux
No olvidemos que hay más computadores en el mundo además de los de uso doméstico.
Mas info: zerodayinitiative.com/Pwn2Own2017Rules.html
Descubrir una vulnerabilidad en Adobe Flash no debería dar premio, debería ser un requisito a los candidatos que quieran acceder al concurso.
"Y para finalizar un clásico: fallo en Adobe Flash que permitía la ejecución de código malicioso y obtener privilegios en el sistema" eso creo que no tiene merito
ademas el kernel de linux ademas de estar en la mayoría de servidores también esta en los móviles android, en coches, en videoconsolas, en neveras, domotica...
una cosa son sistemas de escritorio y otra cosa son servidores o dispositivos móviles o industriales
A ver, no le quito mérito, pero siempre el mayor fallo son lo usuarios y en eso Linux (Ubuntu) es MUCHO mas fiable porque tienes repositorios oficiales con software de confianza y no el circo de APPs piratas de Windows
Twitter
FaceBook
Meneame
YouTube
Kraken (que se que te gusta Bitcoin)
Google
Maps
Office365
DropBox
etc....
demuestras ignorancia con tus palabras y ser un iluso al creer llevar la razón
Si me moviera en el mundillo, quizá lo esté haciendo, lo que tendría es una visión muy subjetiva de la parcela en la que me estuviera moviendo, elevar eso a estadística de ámbito planetario únicamente demostraría mi ignorancia sobre mi nivel de ignorancia.
otra cosa es que tu no sepas diferenciar la capa frontend de la backend.
son cosas de programación e ingeniería del sw, no esperamos que lo entiendas pero tampoco te vamos a dar la razón.
CentOS es una distribución orientada a servidores y Ubuntu, a no ser que hayan utilizado Ubuntu Server (no lo especifican), es una distro orientada a escritorio y tablets. Son dos productos diferentes.
Y en cualquier caso, CentOS, a diferencia de Ubuntu, es una distro soportada por la comunidad sin soporte empresarial .
A nivel profesional puedes encontrar servidores CentOS en entornos de desarrollo, pero no creo que encuentres muchos en producción. La versión profesional de CentOS es Red Hat.
Yo me compré un ordenador de la "marca Intel inside", y el Linux se lo instalé yo luego.
Una empresa de EDA, que tiene los servidores en un cluster al 100% de uso de CPU casi todo el tiempo, lo mejor es que virtualice. Eres un genio. Y, por supuesto, para hacer simulaciones con miles de millones de transistores o compilar programas con millones de líneas de código no hacen falta tantos servidores. Se puede hacer en el PC de torre de casa.
Es más, las empresas tienen fuertes intereses para ocultar ser víctimas de ataques ya que eso puede perjudicar su imagen como empresa y hacerles perder clientes. Por ello la información subjetiva que podamos tener sin duda estará sesgada, al menos en ese sentido.
# rm -rf /
tiene la ventaja añadida que libera mucho espacio en el disco duro
Y es que por ejemplo no hay que olvidar que no está fuera de lo normal tener un ordenador en el trabajo, otro en casa y un par de teléfonos móviles (el de empresa y el personal), a veces tres si se es infiel.
A su vez no tengo reparo en reconocer mi ignorancia en muchos más ámbitos que aquellos donde pueda parecer que no lo soy. Por ejemplo ignoro cual es el ratio entre servidores y equipos de usuario y cómo la cuota de mercado de un ámbito y otro se puede comparar para evaluar las distintas magnitudes, e ignoro si existen estadísticas al respecto dado que a pesar de buscarlas he sido incapaz de encontrarlas.
Y me encantaría salir de esa ignorancia para entrar en otra distinta a partir de ahí.
O dicho de otro modo, si hubiese un servidor por cada 100 equipos personales, seguiría dando igual porque el servidor custodia los datos de muchos más usuarios que esos 100 equipos personales juntos.
Por ejemplo en una red corporativa: si consigues romper un terminal concreto igual tienes los archivos que su usuario habitual guarde, y puede que logres acceder a sus cuentas de la empresa; si, por otro lado, consigues romper la base de datos de usuarios podrás acceder a todos los archivos y cuentas corporativos que quieras.
En un caso tienes pillado a un currito, en el otro a toda la corporación y a todos sus trabajadores.
Mal que tenga versión servidor, pero no tiene demasiada buena fama como tal. Que alguien me corrija si me equivoco, porque hablo de memoria con datos de hace un par de años, pero si bien es la más usada como cliente, como servidor no, y por tanto sus esfuerzos han ido más en la dirección de hacerse asequible a usuarios comunes que a la seguridad.
Pueden existir similitudes entre las motivaciones del hacking y los investigadores en matemáticas.
Por otro lado existe también un mercado negro de compra/venta de errores de seguridad, habría que analizar las dinámicas económicas de ese ámbito ya que podrían dejar en ridículo las cuantías de los premios que se pretenden usar como baremo.
A todo ello hay que añadir que existen organismos gubernamentales que sacan provecho de vulnerabilidades de software, de nuevo ese ámbito es opaco y difícilmente se podrán obtener conclusiones sobre la seguridad de los productos de ese ámbito.
La lógica elemental nos indica que es un entorno excesivamente complejo como para simplificarlo a los premios que una empresa en concreto decida donar para un concurso específico haciendo publicidad de su marca.
Yo doy soporte a clientes y hacemos más ssh por VPN que escritorios remotos.
Es más, aconsejamos sistemas que no sean Windows para los servidores de nuestros productos.
Porque en muchas noticias en las que alguien pwnea algo deberían decir un poco el alcance de dicho pwneamiento, no es lo mismo que te pwneen sin darte cuenta, que tu hayas abierto la puerta descargándote un virus y ejecutándolo tu mismo.
Mientras que Ubuntu aparece en la mayoría de encuestas y estadísticas arriba del todo en popularidad y uso:
www.gamingonlinux.com/articles/new-user-statistics-refresh-come-check-
redmonk.com/dberkholz/2013/05/20/ranking-linux-distributions-and-the-d
...
En cuanto me presentes las firmas de change.org lo doy por bueno
Por favor ... que risas ...
#20 lol
Por contra si es un ataque que busca distribuir spam o pedir un pago por secuestro de archivos ahí puede interesar más atacar a centenares de miles de víctimas de forma distribuida y desatendida que ir uno por uno a cada equipo, siendo por ejemplo una empresa un ámbito donde es más probable que haya alguien capaz de solucionar el problema sin pagar rescate por ejemplo disponiendo de copias de seguridad.
Nos podemos montar tantas películas como queramos, con guiones de lo más variopintos, pero por mucho que podamos disfrutar lanzando escenarios imaginativos nada de eso puede suplir los datos que aportaría un estudio estadístico hecho con criterios y medios adecuados.
Y es que por mucho empeño que le pongamos no seremos nunca capaces de identificar todos los tipos de ataques, su magnitud en cada plataforma estando simplemente delante del ordenador con un teclado y un ratón. Sería bonito que pudiéramos pero eso recae en el pensamiento mágico.
#53
Poca cuota de mercado tendrá Ubuntu, que solo es una de muchas distros corriendo bajo nucleo Linux.
Preséntame las que lo avalen y veremos si sobreviven a un análisis crítico.
Donde una empresa ofrece premios y esa empresa decide la cifra, a saber con qué criterios y con qué objetivos empresariales.
Es una relación directamente proporcional su uso e impacto a ser vulnerado frente a otras recompensas de menor coste, Apache es el mejor pagado, rompe mi razonamiento.
Eso es una conjetura que no está avalada por nada más que un dato anecdótico que tú elevas a no sé exactamente qué categoría.
La única razón por la que no hay más programas piratas para Linux es por que no hay más software comercial pero, haberlo, haylo:
XCOM.2.Linux-ACTiVATED
thepiratebay.org/torrent/13449491/XCOM.2.Linux-ACTiVATED
Mathematica 11 with Keygen (Windows/Linux/OSX)
thepiratebay.org/torrent/15543503/Mathematica_11_with_Keygen_(Windows_
¿tienes a alguien que avale tu opinión?
No he conseguido encontrar ninguna estadística que ponga en contexto tus palabras, ni tampoco ningún ratio de servidor/móvil/escritorio que permita medir cuan relevante puede ser en términos absolutos la cuota de mercado de servidores respecto a la total. En principio un servidor ofrece servicio a muchos usuarios, por lo que a priori el ratio debería ser muy favorable a las estadísticas de escritorios/móviles donde Linux es residual.
¿Las vulnerabilidades en routers, que las hay a patadas, son también entonces vulnerabilidades de Linux?
Y también que hoy Android sí es Linux.
Si consigues romper esa seguridad y te dan, no sé, 100 veces más en el mercado negro ¿sigue siendo un buen premio?
O si te prefieres presentarte a la empresa, organización o comunidad con ese descubrimiento para que te acepten en su equipo, con sueldo o no, ¿sigue siendo un buen premio?
Y en cualquier caso, ¿acceden a ese concurso todos los aspirantes capaces de conseguirlo? ¿o solo un pequeño segmento de ellos cada cual con sus motivos? (ya que mides el éxito o fracaso en función de los concursantes)
Si lo mides únicamente en términos de premios ¿iOS es 8 veces más seguro que Apache en tanto que el premio es 1,5 millones de euros?
www.eweek.com/security/top-ios-bug-bounty-award-hits-1.5m
Lo mires por donde lo mires usar los criterios de una única empresa hace aguas como baremo para medir la seguridad a escala planetaria.
Hasta que su uso dejó de ser residual.
No tiene nada de absurdo valorar ese factor también en el debate.
Y ciertamente para Linux es una gran suerte que la gente en general no asocie los routers domésticos como equipos Linux, ya que en cuyo caso su fama en cuanto a seguridad, repito, su fama podría sufrir un duro golpe.
Y si te fijas en mis comentarios en la mayoría de hilos de discusión lo que reivindico son datos estadísticos al respecto, sigo esperando alguna respuesta. Y es que la ausencia de esa información objetiva tristemente nos lleva a elevar la anécdota a generalización, es una de las carencias humanas.
Y en ese sentido es significativo destacar la importancia del interés que pueda tener el atacante en atacar un sistema u otro, por ejemplo en función de su popularidad, de cada a alterar las probabilidades que ese ataque ocurra. Por ello hablar de la seguridad del sistema sería erróneo, entendiendo por sistema al "sistema operativo", siendo la seguridad un conjunto de la parte técnica y factores de tipo económico y cultural.
no hay duda que una app bajada de un repositorio (Ubuntu, Android...) siempre va a ser más seguro que una app bajada de cualquier web de internet (Windows) porque no todo el mundo puede reconocer cual es cada web oficial de cada app.
El hecho que los usuarios descarguen aplicaciones de repositiorios de ubuntu y no tanto de repositorios de Microsoft, que los hay, es de tipo cultural y factores económicos y de estrategia de empresa. De nuevo la seguridad en este caso no estaría en el sistema operativo si no en el ámbito del sector que tiene una correlación muy significativa con el ámbito de uso del sistema y de su popularidad.
En cuanto a bajarlo de un repositorio de Android si por ejemplo lo comparamos con el de Apple podemos ver como su nivel de seguridad es mucho menor, en este caso por aplicar políticas empresariales distintas. De nuevo, el sistema operativo no es el factor determinante.
Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).
iOS se considera popularmente mucho más seguro que Android, sí ha sufrido un fuerte golpe por haberse hecho público que se han detectado múltiples aplicaciones con malware en la tienda oficial de Google. A parte de la imagen que existe en todos los teléfonos móviles en general que son herramientas usadas por los gobiernos para espiar a sus ciudadanos. Claro que han recibido muy mala publicidad, y de nuevo el hecho que no se suela asociar a nivel popular a Android con Linux (en menéame depende de por donde sople el viento) también ayuda a mantener la imagen de seguridad de Linux.
Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.
Y nos quedamos con la anécdota, los equívocos y las percepciones del pasado como baremo principal.
mount -o rw,remount /
passwd username
Info completa: askubuntu.com/a/24024/234719
¿Por qué deduces que no hay márgenes de crecimiento? ¿Por qué dices que no hay redundancia? ¿Por qué dices que como falle algo estás jodido? ¿Cómo falle el qué? ¿Por qué te limita eso y qué tiene que ver que sea para EDA o no, si en EDA, dependiendo de lo que hagas tienes unas limitaciones u otras?
Virtualizar un clúster como el de mi empresa es una gilipollez suprema, pero bueno, tú sigue hablando sin saber y haciendo deducciones de la nada que no entiendo en modod alguno.
No es normal, vale. Los servidores que se utilizan para cálculos matemáticos, simulaciones, compilaciones, etc. que están muy a menudo al 100% no son "normales" porque lo dice @Dangui. ¿Cómo son? ¿Subnormales?
Un clúster es un sistema distribuido. Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más. ¿Te parece poca redundancia?
¿Llevo años trabajando en esto y me vas a mostrar el "mundo real" tú?
Te lo he dicho en mi anterior comentario: "Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más".
¿Qué tiene que ver que la CPU esté al 100% o al 5%?
"The total performance of all 500 computers on the list is now 672 petaflops"
petaflops son unos 1000 teraflops, más o menos 1000 000 de gigaflops
Así que eso son 672 millones de gigaflops
En el mundo hay más de 1000 millones de ordenadores personales, que al menos a 1 gigaflop cada uno (muchos tienen 2 ó 4 o incluso 8 núcleos, cada núcleo a unos 2 GHz podrían ser 8 GigaFLOPS o 16 GigaFLOPS) son más de 1000 millones de GigaFLOPS
Luego, podemos contar los móviles, que seguro son más de 1000 millones (solamente Android pasó de 1000 millones hace ya años, si sumamos Apple y otros...), quizá cerca de 3000 millones.
Vale, eso solamente son los 500 servidores más potentes, que habría que suponer que todos usan Linux... y habrá montones de servidores más, pero esa lista de los 500 no habla de los otros servidores. Con esa lista no podemos concluir demasiado... salvo quizá que en potencia 672 petaflops puede ser más del 10% de cuota, poco más. No sabemos si es el 11% (que es más del 10%) o si es el 40%, tampoco sabemos con esa web cuántos del resto de servidores usan Linux (se supone que los más potentes sí lo usan, pero del resto de servidores no sabemos si usan Linux la mitad o el 90%)
Así que #54 tiene bastante razón: ese enlace no tiene mucha relación, solamente da una ligera idea de refilón, pero no una cifra muy exacta.
Si a un burro le pones una capa de lana, sigue siendo un burro y no una oveja.
youtu.be/g--veCrEW5Y
Y si lo consiguen, también.
Pero hay gente que no se dedica a eso y sí va a estos concursos. Son un buen aliciente para los que no son delincuentes.
Un concurso de seguridad no es ningún criterio de seguridad de ningún tipo. Es simplemente un test de seguridad a productos. El pentesting es imprescindible, y estos concursos son una idea excelente.
Pero eso no quita que se busquen vulnerabilidades en el kernel actual (tomando como partida a Ubuntu), sobre el cual estarán funcionando gran cantidad de servidores de producción.
"Windows XP es, en 2017, un coladero de virus" ergo "Windows es un coladero de virus". Creo que no hace falta que te aclare más lo absurdo de tu comentario.
Eres la personificación de lo simple reducida a la máxima expresión.
Otra cosa que, si, es absurdo, es decir "como routers y móviles Android funcionan sobre versiones antiguas de Linux, Linux en general es un coladero de virus". Como decir sin más que "Windows es un coladero de virus". Esas afirmaciones sin matizar son absurdas. En cambio, no es descabellado decir "Linux tiene una cuota de mercado enorme" porque una enorme cantidad de dispositivos se basa en el kernel Linux para ejecutar su software. Aunque no haya estadísticas, que es una pena, pero la evidencia está ahí: en móviles, smart TVs, routers, servidores...
La gente común no asocia Linux a routers dométicos porque ni siquiera conocen lo que es Linux. Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).
Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.