bardzo dobrze, iż takie bugi wychodzą na światło dzienne, gdyż użytkownicy widzą, że ideałów nie ma i każdy może się pomylić w kodzie / umyślnie działać na szkodę i należy się pilnować jak tylko się umie; produkty komercyjne z pitstopu microsoft, symantec i wszystkich super-bezpiecznych i super-fajnych pseudopotentatów branży IT są globalnie naj-naj-naj-oh-ah — tak twierdzi armia ludzi odpowiedzialna za sprzedaż (!) a zwykły user widzi, że coś działa i wg producenta tak ma być. oczywiście są wspaniałe firmy, które mają naprawde dobre aplikacje, toteż proszę się nie sugerować, iż tak określiłem cały komercyjny biznes.

jestem zadowolony, że używam linuksa — guru nie jestem, ale nie muszę być, by mieć więcej satysfakcji; cieszy mnie fakt, że społeczność docenia Oprogramowanie Otwarte część z niej niemalże (nie wszyscy) bezinteresownie dąży do tego, aby działał lepiej i nowocześniej; gdyby tylko wszystkie aplikacje (dla firm: księgowe, finansowe, produkcyjne, etc.) zostały przepisane na linuksa to windows by już praktycznie nie istniał, ale wtedy linuks by go komercyjnie zastąpił:( — tak źle a tak nie dobrze.

pcworld i 2% linuksa — ma racje, mówiąc o systemach na desktopach, ale ogromna większość systemów serwerowych na świecie to *UNIX a więc i linuks; ms nadaje się świetnie dla małych i średnich firm, ale i do tego i do wszystkiego to jest linux — na dowód proszę spojrzeć:

http://news.netcraft.com/

podsumowując: windows jako desktop to proste, kolorowe i łatwe narzędzie, do gier, mediów, programowania, do wszytkiego praktycznie, ale dla dużych maszyn (licząc od superkomputerów), usług w sieci, dla poważnych zadań mających na uwadze bezpieczeństwo, szybkość, poprawność i jakość to tylko BSD/UNIX i to można o tym poczytać i zobaczyć w sieci a nie w rankingach opłaconych portali, którzy i w ten sposób muszą zarobić;p

jeśli nie zgadzasz się ze mną itp to nie komentuj, gdyż podobnych tematow w sieci jest już milony o wyższości windowsa nad linuksem

Gry na Linuksa mogą stanowić zagrożenie

(fot. IDG)
Hackerom udało się spowodować zagrożenie dla komputerów z systemem operacyjnym Linux. Na jednym z głównych serwerów wymiany plików zamienili plik z grą Unreal na plik z tą samą grą, ale z dodanym trojanem, działającym w systemach Unixowych – poinformowały portale informatyczne.

Liczba użytkowników Uniksowego systemu operacyjnego Linux, uchodzącego za jeden z najstabilniejszych systemów operacyjnych systematycznie rośnie, poczynając od początku dekady. Do jego popularności przyczynia się fakt, iż jest to system OpenSource, który można przekształcać według własnych potrzeb. Zwłaszcza w krajach rozwijających się zaczyna on stanowić wyraźną alternatywę dla systemów komercyjnych – informuje portal magazynu informatycznego Computerworld.

REKLAMA Czytaj dalej

REKLAMA Czytaj dalej

Według portalu informatycznego The Register hackerzy spowodowali zagrożenie dla użytkowników tego systemu operacyjnego w dość prosty sposób: podmienili plik z grą Unreal Tournament w wersji przeznaczonej dla Linuksa na plik z tą samą grą, zawierający jednak trojana ułatwiającego przejęcie maszyny z tym systemem operacyjnym przez zdalną sieć używaną do ataków lub rozsyłania spamu – botnet.

Podmieniony został plik Unreal3.2.8.1.tar.gz znajdujący się od listopada 2009 roku na serwerze Syzop, z którego pobierali oprogramowanie użytkownicy Linuksa. Administrator serwisu Syzop przeprosił za zaistniałą sytuację i obiecał, że wszystkie pliki będą miały generowane sumy kontrolne, zabezpieczające przed takimi niespodziankami (po sumach kontrolnych można się dowiedzieć, czy pobierany plik się nie zmienił). Jednak, jak pisze The Register, nikt nie zorientował się, że zamiana pliku z grą została dokonana i administracja serwera dowiedziała się o tym dopiero od użytkowników.

….

http://wiadomosci.onet.pl/2184987,18,trojan_wpuszczony_systemy_uniksowe,item.html

P.S. Zwyczajowo przyjęło się, aby nie czytać komentarzy userów na onetach, wp i innych – można zgłupieć po prostu. Ostrzegam ;)

http://tech.wp.pl/kat,1009779,title,Gry-na-Linuksa-moga-stanowic-zagrozenie,wid,12371947,wiadomosc.html

Niestety. :(

Ale to właśnie otwarte źródła pozwalają łatwiej takie coś wychwycić (oczywiście pod warunkiem, że będzie się chciało szukać).

W zamknietym oprogramowaniu jesteśmy zdani na ufanie twórcom, lub metody reverse engineering.

Pierwszy przykład który mi się nasuwa to:
Interbase – 2001 i zapisane na stałe w kodzie hasło dające pełnię praw – wyszło po udostępnieniu społeczności open-source źródeł. Siedziało w kodzie “niezauważone” 7 lat.

Z backdoor’ów z zamknietym kodem o których było głośno to może przypadek z tzw. NSA key”:

Windows NT – SP5 – MS zapomniał usunąc symboli debugujących, dzięki temu poznaliśmy nazwę tajemniczego drugiego klucza w CAPI. Pierwszy klucz uzywany przez Microsoft nazywał się KEY, drugi co do którego od kilku lat trwała dyskucja do czego służy nazwał się NSAKEY. Oczywiście nazwa klucza “NSA” jest czysty przypadkowa :)

Z innych ciekawostek, to jeszcze polecam poszukać jak ździwieni byli developerzy MS zajmujący się kryptografią jak się dowiedzieli że w ich kodzie znajduje się obsługa tajemniczego trzeciego klucza :)
Dla wyjaśnienia, to uwczesny sposób rozwoju kodu powodował, że programisci widzieli tylko własny kawałek.

Oczywiście Microsoft nie był jedyną firmą, która musiała coś takiego dodać do kodu.

Np. IBM ze swoim flagowym Lotus Notes’em z 64 bitowego szyfrowania zrobił zabezpieczenie warte dla NSA 40bitów :)
24 bity z 64 bitowego klucza były przesyłane razem z wiadomościami – zaszyfrowane kluczem publicznym NSA.

Podobne historyjki krążyły o Solarisie SUN’owym i innych dużych producentach software’u IT którzy musieli uzyskać zgodę władz USA na eksport , a podobno jednym z warunków było aby NSA mogła czytać.

Zresztą to były czasy kiedy kod źródłowy PGP drukowało się jako książkę i w ten sposób “w ramach wolności słowa” był eksportowany poza USA, gdzie był skanowany i OCR’owany :)

Teraz tak banalnie prostych “backdoor’ów” to poza amatorami się nie stosuje ;>

Ponadto oprócz sprawdzenia sum MD5 paczek, można sprawdzić podatność grepując wypakowane już pliki:
grep DEBUG3_DOLOG_SYSTEM include/struct.h
Jeżeli zwróci dwie linie, to jest lipa.

Wszystko ładnie opisane jest na oficjalnym forum UnrealIRCd: http://forums.unrealircd.com/viewtopic.php?t=6562

FAIL : “Unreal is a popular first-person shooter game – similar to Doom or Quake.”

Szkoda, że dopiero po takiej akcji pomyśleli o podpisywaniu paczek na mirrorach… trzeba się uczyć na błędach ;]

UnrealIRCd to daemon IRC, a irssi to klient :-) Pomyliles pojecia, albo posiadłeś tajemna wiedze, jak rozmawiac przez irca z innymi ludzmi, nie będąc podłączonym do serwera.