No dobra, masz mnie Nie podam tak z pamięci, a poszukać nie mam czasu
Pamiętam natomiast, że całkiem niedawno była sprawa z bodaj WMF – błąd był odznaczony jako krytyczny, a łatka, oficjalna, pojawiła się gdzieś po 2 tygodniach. Pamiętam też, że jakiś bug z visty został oznaczony jako ficzer.

Aktywnie exploitowanych? To będzie ciężko, bo zazwyczaj o takich dziurach w komercyjnych produktach (m.in. MS Windows) ludzie nie dowiadują się od razu. Za miesiąc będę mógł ci podać jakie na ten dzień były exploity, ale wcześniej trzebaby mieć wtyki w odpowiednich środowiskach

Ale o byłych krytycznych lukach których MS nie chciał poprawiać przez dobre tygodnie/miesiące możesz poszukać na google.com – w serwisach haksiorskich jest tego całkiem sporo

> Ale o byłych krytycznych lukach których MS nie chciał
> poprawiać przez dobre tygodnie/miesiące możesz poszukać na
> google.com – w serwisach haksiorskich jest tego całkiem
> sporo

“ktos”, “gdzies”, “podobno”…
No to nadal czekamy, 3 krytyczne bugi dla oficjalnie
wspieranego systemu o ktorych MS wiedzial a ktore naprawial
w kilka tygodni (dla mnie to powiedzmy okolice miesiaca).

@jarek: Tak się śmiesznie składa, że dla Visty są według Secunii dokładnie 3 błędy niezapaczowane.

XP, Unpatched 14%, moderately critical
http://secunia.com/product/22/

Vista, Unpatched 10%, Less critical
http://secunia.com/product/13223/

Ubuntu 8.04, Unpatched 0%
http://secunia.com/product/18611/

Wiem, że Secunia przestrzega przed bezpośrednim porównywaniem różnych produktów na podstawie ich statystyk i wiem, że pytałeś o “3 krytyczne bugi dla oficjalnie wspieranego systemu o ktorych MS wiedzial a ktore naprawial w kilka tygodni”. Wystarczy mi że teraz XP ma buga “moderately critical”.

Ale spędziłem kilka minut (!) i znalazłem taki błąd wg secunii: “Microsoft Windows hxvz.dll ActiveX Control Memory Corruption (…) Highly critical, Impact: System access, Where: From remote”. Błąd był znany publicznie (CVE) od 20080228, natomiast MS advisory: “Published: April 8, 2008″. Drugi słynny błąd był związany z GDI. Trzeci znajdź sobie sam – jako zadanie domowe.

Wszystkie poniższe błędy w Windows XP Professional SP2 są “Highly critical”, zazwyczaj “system access from remote”:
CVE-2008-1087: 5 tygodni czekania na poprawkę
CVE-2008-1086: 5 tygodni
CVE-2008-0083: 5 tygodni
CVE-2007-0065: PONAD ROK!!!

http://secunia.com/product/16/?task=statistics
- 2003-2008: 176 zgłoszeń, z czego niezałatanych: 13%
- statystycznie “Extremaly” i “Highly” = 39% błędów (rozkład w oparciu o tych 176 zgłoszeń)
- 176*13% = 22,88
- 22,88*39% = 8,9232
więc nawet opierając się wyłącznie na statystykach w Windows XP Home Edition można śmiało założyć ok. 9 krytycznych niezałatanych błędów. Oczywiście powyższą metodologię obliczeń można podważyć, ale LM znalazł chyba bardziej przekonujący dowód…

@Ku8a
Google naprawdę nie gryzie, a czasem nawet jest szybciej coś w nich poszukać niż czekać na odpowiedzi w komentarzach.

@LM: Dzieki! Wszystko sie zgadza poza tym, ze moje pytanie dotyczylo “krytycznych bledow co do ktorych Microsoft utrzymywal, ze to “features” i “odmawial” ich poprawy”. Wszystkie przyklady, ktore podales dotycza luk poprawionych przez Microsoft. Druga czesc pytania dotyczyla luk “aktywnie exploitowanych” -
CVE-2008-1087- patch 8 kwietnia, pierwsze exploity 11 kwietnia.
CVE-2008-1086- patch 8 kwietnia, 8 kwietnia bez exploitow.
CVE-2008-0083- patch 8 kwietnia, 8 kwietnia bez exploitow.
CVE-2007-0065- patch 12 lutego, 12 lutego bez exploitow.
Dotatkowo: do kilku luk stosunkowo proste “workarounds” byly opublikowane znacznie wczesniej. Wiekszosc podanych przez Ciebie luk byla dodatkowo opisywana w stylu “Victim must voluntarily interact with attack mechanism” (chociaz rzeczywiscie bylu krytyczne)
@Void: patrz wyzej, dodatkowo liczby dla kernela 2.6
Affected By 145 Secunia advisories
Unpatched 9% (13 of 145 Secunia advisories)
Niestety bardziej szczegolowych statystyk (takich jak dla XP Secunia nie podaje).
Nie twierdze, ze Microsoft jest “mistrzem paczowania”, ale faktem jest, ze poprawiaja to co maja poprawic i robia to zwykle na czas. Wydawanie tak “ostrych” ocen jak zrobil to niedzwiedz_2 jest niesprawiedliwe. Ostatnia sprawa to problem z “liczeniem czasu”…Znalezione bledy sa raportowane zwykle tylko do Microsoftu (nie sa upubliczniane) i dopoki sprawa zalatwiana jest tylko miedzy raportujacym a Microsoftem to nie ma problemu. Problemy zaczynaja sie wtedy kiedy Microsoft dowiaduje sie o problemie z obecnych w sieci proofs of concept albo co gorsza gotowych exploitow, a to nie zdarza sie chyba zbyt czesto?
@blah: climb the tree

@kuBa
A) Porównywanie systemu operacyjnego z samym kernelem ma sie jak piernik do wiatraka
B) Nie wszystkie błędy lądują w secuni firmy komercyjne jeśli tylko mogą to nie upubliczniają błędów.
C)Jeśli systemy windows są takie bezpieczne i tak szybko łatane to dlaczego działa na nich tyle wirusów/robaków/trojanów?? To jakis ficzer czy jak?
Zwłaszcza że większość tego śmiecia to są stare odmiany. A jak chcesz zobaczyć zajebisty ficzer to jak masz publiczny adres najlepiej jeszcze NeoZdrade to wyłącz firewall antywirus i nic nie ruszaj, robaczki same przyjdą, fajny ficzer, no nie?

@ak47:

A) Oczywiscie, ze takie porownanie ma sens bo kernel to podstawowa CZESC systemu operacyjnego. W tym wypadku takie porownanie dziala nawet na niekorzysc Windowsa (porownujemy czesc z caloscia systemu operacyjnego)

B) I co z tego, ze bledy nie sa upubliczniane? (tak naprawde sa w momencie publikacji poprawki i to jest w wiekszosci przypadkow najlepszy moment, zeby to zrobic). Po co? Bledow w komercyjnym/zamknietym sofcie i tak sobie sam nie poprawisz, a upublicznienie luki to skierowane do “zlych ludzi” zaproszenie do jej wykorzystania. Dopoki o bledzie wie osoba/firma/organizacja, ktora blad znalazla i dostawca (ewentualnie firmy/partnerzy, ktore sie bezpieczenstwem zajmuja Symantec, ISS itd.) to nie ma problemu. Niech sobie dostawca pracuje nad poprawka nawet 5 tygodni. Wieksze zagrozenie stanowia zero day exploits (tak naprawde zdarzaja sie nieczesto), ale w tym wypadku poprawki ukazuja sie poza oficjalnym schedulem (tak szybko jak sie da). Poza tym wiekszosc zero day attacks jest zwiazanych z “memory corruption vulnerabilities” (buffer overflow itd.) przed ktorymi stosunkowo latwo sie chronic (jesli sie chce). Upublicznanie bledow to jakas taka Twoja obsesja? A skad masz pewnosc, ze w otwartym kodzie, ktorego uzywasz ktos nie znalazl powaznej luki i nikomu o tym nie powiedzial? Poza tym jaki punkt w czasie jest tutaj krytyczny? moment kompilacji? czas upublicznienia bledu? pojawienie sie exploitow? Nie obchodzi mnie ile blad istnieje, obchodzi mnie roznica czasu miedzy momentem kiedy blad staje sie powszechnie znany, a momentem kiedy dostawca dostarcza poprawke. Sytuacje kiedy blad jest upubliczniany JEDNOCZESNIE z poprawka jest OK.
C) Nie twierdze, ze windowsy sa TAKIE bezpieczne. Niewatpliwe sa mniej bezpieczne niz Linuxy i nie ma co o tym dyskutowac. Inna kwestia to dlaczego sa mniej bezpieczne. Moim zdaniem nie z powodu katastrofalnej jakosci kodu, powaznych “bledow w architekturze”, o ktorych wypowiadaja sie ludzie nie majacy pojecia o architekturze, zlej woli i indolencji Microsoftu. Tak czy owak uzytkownik jest duuuzo bardziej bezpieczny na Linuxie niz na Windowsie. Dlaczego jest tyle trojanow/wirusow itd? Z takiego samego powodu dla, ktorych na Windowsa jest tak duzo aplikacji i gier. Jest popularny. Jak sie te smieci rozprzestrzeniaja? Otoz nie wykorzystuja jakis wyrafinowanych technik..najczesciej uzytkownik musi sam wykonac zlosliwy kod a sam virus to nie zaden polimorficzny programistyczny cud wykorzystujacy katastrofalne “bledy w architekturze” tylko normalny program (wykorzystujacy bledy w “architekturze uzytkownika” – czytaj niewiedza), ktory po prostu robi to do czego zostal napisany czyli nie pokazuje golej Pameli Anderson (na co liczyl uzytkownik) tylko uruchamia np SOCKS proxy (o czym uzytkownik nie ma pojecia). Ostatnia rzecz…mozemy sprobowac bo na swoim Windowsie (absolutnie defaultowa konfiguracja) nie mam zadnego AV ani firewalla. Jedyne co robie (a w zasadzie robi to system bez mojej ingerencji to patche). Moge podac publicznie swoje IP i poczekac na gosci. Zalozymy sie, ze nie dasz rady?:)

Bez włączonego antywirusa i FW windows zbyt długo nie przetrwa bez wirusów. Przynajmniej tak było jak go jeszcze używałem, ale wątpię, żeby coś się zmieniło.

swego czasu CHIP przeprowadził test ze świeżo zainstalowanym WinXP SP2, na początku brak dodatkowego softu tylko systemowy firewall włączony. Podał jego IP na forach hakerskich i oferował 1000zł temu kto odczyta zawartość pliku tekstowego (nazwa i lokalizacja też była podana) i prześle na maila sposób w jaki to wykonał. I wynik był taki ze po tygodniu nadal 1000zł zostało w redakcji. Mimo ze po kilku dniach poziom został obniżony tzn. zainstalowano komunikator, podstawowe oprogramowanie, i postawiono przed kompem kilka nieświadomych osób. Więcej można znaleśc w którymś z numerów CHIP’a (być może na CHIP.pl tez się ten artykuł znajduje).
Więc jaki z tego wniosek?? Czy tak wirusy i trojany same wychodzą na kompa??

Nawet da się odpowiedź jednego takiego serwisu znaleźć:
http://hack.pl/aktualnosci/chip_konkurs_-_wlamanie_za_darmo_660
(Mam nadzieje, żę nie usunie mi ten Wordpress cały komentarza z powodu linka)

O i jeszcze jest nawet dyskusja na forum (jakby ktoś nie zauważył odnośnika na dole tego newsa): http://hack.pl/forum/thread1604-3.html

A)No niepowiedziałbym wiekszość błędów kryje się w draiverach jak powiedział ostatnio A.Morton a do windowsa drivery robią różne firmy.
B) A słyszłeś o dodaniu nowego ficzeru, który łata tak naprawdę stary błąd czy przypadków gdzie dodatkowo naprawia się po cichu kilka błędów w nowej “paczce” a opublikuje sie ja jako pojedyńczy bład. Nie mając dostępu do źródła poprawki trudno ci stwierdzić co ona tak naprawdę “naprawia” ewentualnie co w bonusie dostałeś z tą poprawką.
Możesz zapewnić że tylko ten kto zgłosił lukę do producenta może ją wykożystać?
C)
-Masz firewall … microsoft ci go zainstalował w sp2.
-I tak nie masz tam nic ciekawego więc po co tracić czas?
-Poza tym na terenie RP jest to karalne.
Nie twierdze że nawet bym potrafił – to nie moja działka, jak bedziesz posiadał bazę danych do optymalizacji/zaprojektowania to możesz się zgłosić.

Jakoś nie wierze abyś miał adress publiczny, no chyba że provider ci niebezpieczniejsze porty powycinał. Ja w akdemiku miałem sieć gdzie nie było wycinane nic a wszyscy mieli adressy publiczne. Bez zabezpieczeń windows Blastera łapie w ciagu 30 minut. Kumpel mimo że posiada aktualnego kasperskiego to i tak co tochę mu świnia wrzeszczy :]. Kiedyś postawiłem IDS’a jak zostawiłem go na weekend to mi dysku brakło baza urosła do ponad 4G. Więc mi nie mów że się same robaczki nie rozsyłają. Na godzinę łapałem ok 1700 prób ataku, akurat w modzie były ataki na MSSQL i ISS. Parametry sieci 1024 adressy łącze 40Mb/s.
Ogólnie zamiast wierzyć w to co mówią zacznij sam sprawdzać pewne rzeczy.

Tak słyszałem/czytałem na temat tego że nagroda za mała itp, ale czy z tego powodu nikt się nie włamał? Jakby WinXP SP2 był taki dziurawy to napewno by się ktoś taki znalazł (w końcu 1000zł drogą nie chodzi , czy choćby sama satysfakcja).
@ak47
co do “B)” masz jakieś dowody że tak jest, czy to tylko domysły?

Co do wyższości Win nad Lin czy na odwrót w kwestii dziur/bezpieczeństwa to jedno jak i drugie jest tworem człowieka więc nie może być idealne (a wielu linuksiarzy/windowsiarzy uważa że ich system/sposób jego rozwijania jest idealny). Odnośnie zabezpieczeń to panują tam 2 zasady:
1. System jest tak bezpieczny jak jego najsłabsze ogniwo
2. Najsłabszym ogniwem jest człowiek.

@ak47
I nawet na taki włam musiałby się zgodzić nie tyle on, co jego operator. Czyli TPSA, Netia czy przez jaką tam sieć byś się włamywał. A tak się dowiedziałem przy okazji czytania o tym konkursie

@Kuba: nie wiesz jakie exploity są wykorzystywane. Nie wiesz jakie są “znane” – komu? Tym którzy nie powiedzą o nich, bo na tym korzystają!

Błędy Linuksa na Secunii dotyczą waniliowego jajka – praktycznie nieużywane in-the-wild.

Błędy są niemal zawsze związane z konkretnym portem. Dla ZU nie jest istotne to, że coś jest nie tak na ARMach albo, że dla maszyn 64-bitowych jest błąd (chociaż tylko “from local”).

Błędy Linuksa na Secunii to w większości “DoS from local”. A podniecać się z tego typu “ataku” to jak cieszyć się z tego, że można zrobić kupę w kinie. Jest ciemno więc się da, ale co z tego skoro w smrodzie będą wszyscy łącznie ze sprawcą?

Secunia powinna przyjrzeć się błędom kernela, które opisuje jako niezałatane. Wybrałem jeden na chybił-trafił i okazuje się, że błąd występował (naprawiono dawno temu) w PAM a nie w kernelu.

A największym bugiem, opisywanym przez MS jako ficzer, jest wypuszczenie Visty i Office 2007

@LM:
“nie wiesz jakie exploity są wykorzystywane. Nie wiesz jakie są “znane” – komu? Tym którzy nie powiedzą o nich, bo na tym korzystają!” – zgadza sie (mniej wiecej) i dotyczy to open source w takim samym stopniu jak Windowsa. I wlasnie dlatego narzekanie, ze Microsoft zalatal dziure w 5 tygodni jest bez sensu. 5 tygodni od czego? Od wykrycia luki? Luka mogla byc wykryta 2 lata temu tylko ten kto ja znalazl nic nikomu nie powiedzial (dotyczy to zarowno OS jak i Win). Chwalenie sie, ze jakas dziura w Linuxie zostala poprawiona w 3 tygodnie szybciej niz luka podobnego kalibru w Windowsie nic nie znaczy. Jesli juz mierzyc czas to od momentu wykrycia wirusa/worma itd. wykorzystujacego dana luke in the wild. W podanych przez Ciebie przykladach taka sytuacja nie zaszla. W momencie wydania wspomnianych patchy nic zlego sie nie dzialo. Skad sie o tym mozna dowiedziec? Ze 100% pewnoscia nigdy (dlatego wyzej napisalem “mniej wiecej”) ale uwierz mi Symantec, ISS, Sophos, Panda, McAfee i inni monitoruja siec, analizuja ruch, maja tysiace honey-pots itd. bo z tego zyja. Cos co atakuje wiecej niz 1000 komputerow w Internecie bedzie wczesniej czy pozniej wykryte (ja wierze, ze wczesniej). Wlasnie takie powszechne, masowe ataki sa najbardziej uciazliwe i niebezpieczne dla uzytkownikow jednoczesnie stosunkowo latwe do wykrycia. W przypadku “profilowanych”, “powaznych” wlaman czy atakow system operacyjny ma duzo mniejsze znaczenie, a z Windowsa spokojnie mozna zrobic bastion host.
Co do local vs. remote. Zgodnie z oficjalna wykladnia masz racje. Ale dla mnie zdalna luka, ktorej wykorzystanie jest mozliwe tylko przy pomocy lokalnego uzytkownika (kliknij tu) jest tak naprawde lokalna. To mniej wiecej tak gdybym wyslal uzytkownikowi maila z zalaczonym batem:
net user crack secret /add
net localgroup Administrators crack /add i sprytnie poprosil o jego wykonanie.
Jeszcze jedno, popatrz tak z dystansem na jeden znamienny fakt.. w swojej argumentacji przytaczasz dane z Secuni na poparcie swojej tezy, a jednoczesnie poddajesz je w watpliwosc. Mowiac krotko, Secunia pisze XP 13% unpatched to jest OK, Secunia pisze Kernel 2.6 9% unpatched a… to cos nie tak, musza sie temu przyjrzec itd.

Ja sie naprawde z Toba zgadzam. Generalnie Windows jest duzo mniej bezpiecznym systemem niz Linux. CO do tego nie musisz mnie przekonywac (mozemy sie jedynie roznic co do zdania na temat przyczyn tego stanu rzeczy). Nie zgadzam sie tylko z nieprawdziwymi i szczeniackimi zarzutami wobec Microsoftu. Mowienie, ze MS nie poprawia jest nieprawda bo poprawia.
Mowienie, ze MS pozostawia uzytkownikow samym sobie z niezalatanymi i powszechnie wykorzystywanymi krytycznymi dziurami jest nieprawda bo nie pozostawia. Tego dotyczyla dyskusja.

Oh really? http://osnews.pl/generator-liczb-losowych-w-windows-2000-zlamany/

To jest dziura w nim, a nie informacja, że można przewidzieć wygenerowany wynik

Kuba: co ma IPSec do OpenSSL????

Że VPN mogą działać w oparciu o SSL, IPSec i protokół własny.
Oczywiście HTTP, SMTP etc. rzadko działają w oparciu o IPSec

ma do “kryptografii” o ktorej byles laskaw wspomniec.

w jaki sposob moge wygenerowac certyfikat dla wlasnego CA przy uzyciu windowsXP lub 2003?

1. Instalujesz cygwina z OpenSSL
2. Resztę tak jak na każdym innym systemie

@vampire: to pytanie “retoryczne”? Jesli nie, to zadaj sobie troche trudu i poczytaj: https://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

A jesli nie podoba Ci sie GUI mmc to zawsze mozesz uzyc certutil.exe

Moj blad – zaktualizowalem tylko openssl, a nie libssl.

Jasne. Skompilował, a przedtem jeszcze przeczytał i wykonał pełną inspekcję kodu linia po linii.

Ale źródła nie są takie same jak paczka dla Debiana. To paczka Debiana powinna mieć takie źródła jak oficjalny kod openssl. To jak z kwadratem i prostokątem A tu jest mowa jedynie o paczce Debiana, która jest beee. Kod jest OK, więc możesz spokojnie sobie kompilować

> obecny czas

To zwykle właśnie wykorzystują generatory liczb pseudolosowych.