Onneksi ouppensorsa on turvallista ja tutkitaan kaikki mahdolliset ongelmat ja mitenkäs se menikään se mantra...

Ossi kommentoi:

"Kehittäjä on käyttänyt Linux-työasemaa ja Xorer toimii vain Windowsissa."

Niinpä... tässäkin taas kerran tulee esille tuo totuus virukset tai haittaohjelmat ei toistaiseksi oikein asennu Linuxiin...

Windows on siten oleellisesti turvattomampi käytössä kuin Linux... vai oletko sinä Ossi mahdollisesti eri mieltä.?

Arvioisin kuitenkin, että noiden haittaohjelmien kehittäjissä lienee mahdollisesti joukossa jokunen Windowsin käyttäjäkin... pitäähan tuotoksien toimintaa Windowsissa ainakin testata... :)

Itse olen käyttänyt pääosin Opera selainta jo melko pitkään...

Terv. Heikki

Taas on otsikkonikkari päässyt vauhtiin ja trollit sen perässä...

Aika paha kämmi. Ei tuossa muuten mitään tavatonta ole mutta se aika mikä kesti huomata on kyllä tajuttoman pitkä.

Ouppensorsa on turvallista vain mikäli softa kehitystyö on asianmukaista. Tässäkin tapauksessa en kyllä itse Firefoxia pidä yhtään enempää reikäisenä, tässähän haittaohjelma ujutettiin nyt Mozillan kautta koneelle ja ihan varmasti selvittävät, miten näin pääsi tapahtumaan. Tämähän on nykyisin tavallista, onhan tämä tietokone.fi myös tässä hiljattain lähettänyt haittaohjelmia kävijöiden koneelle...

Katastrofiskenaario onkin, että jonkun käyttöjärjestelmän päivitystoiminnon kautta tulee haittakoodia kaikkien miljoonien asiakkaiden tietokoneille.

<i>"Niinpä... tässäkin taas kerran tulee esille tuo totuus virukset tai haittaohjelmat ei toistaiseksi oikein asennu Linuxiin...

Windows on siten oleellisesti turvattomampi käytössä kuin Linux... vai oletko sinä Ossi mahdollisesti eri mieltä.?"</i>

Hahahaha :-D

Onhan se myönnettävä, että olet Heikki huumorimiehiä :-)

Jarkko kommentoi:

"Onhan se myönnettävä, että olet Heikki huumorimiehiä :-)"

Mitä!!... onkos Jarkolle nyt jostakin tullut pientä, aikaisemmin piilossa pysynyttä... orastavaa huumorintajuakin...:)

Ihan leikkimielllä tuon sinänsä ihan totuuden kerroin, kun tiedän, mitä käyttistä Ossi ''ehkä'' suosii...

Jos itse olet sitä mieltä, että jokin tuossa kommentissani ei pidä paikkaansa, niin kertonet...:)

Terv. Heikki

Heikki Ojala kirjoitti:
<i>"Niinpä... tässäkin taas kerran tulee esille tuo totuus virukset tai haittaohjelmat ei toistaiseksi oikein asennu Linuxiin...
Windows on siten oleellisesti turvattomampi käytössä kuin Linux..."</i>

Jos tässä kerran tuo totuus niin on syytä pohtia asiaa.

Mistähän tämä johtuu? Onkohan Linux niin vaikea ohjelmoitava? Eikö koodaajat osaa tehdä haittaohjelmia vaikka pääsevät asentamaan ne suoraan Linux-koneeseen?

Vai olisiko kyse jostain muusta kuin siitä, että "haittaohjelmat ei oikein asennu Linuxiin"?

Mitä tämä tapaus todistaa Windowsin tietoturvasta?
Entä siitä, että auttaako koodin avoimuus tietoturvauhkien torjunnassa?

Kolme kuukautta?!? Voi ristus, sanois pohjalainen.

Jarkko... mietipäs sinä noita... mieti samalla, mitä eroa on noissa Windowsissa ja Linuxissa...

Minä olen kyllä ihan tyytyväinen tilanteeseen, jossa tosiasia on, että ei Linux koneisiin ole noita haitakkeita toistaiseksi asentunut.

Tuudittautua ei kannata... NATtaavan rautapalomuurin takana pidän verkkoani, jossa Linux koneetkin.

Sitten, jos haitakkeita Linuxiinkin rantautuu, niin on aivan pakko alkaa todella pohtia, mistä, miten, mistä johtuu...

Winukan osaltahan ovat meitä paljon viisaammatkin pohtineet, pohtivat jatkuvasti keinoja haitakkeiden torjumiseksi... valitettavasti täysin siinä toistaiseksi onnistumatta.

Se, missä on kyllä ''hyvin'' oikeasti onnistuttu... on lähinnä tuo torjuntaohjelmisto bisnes, jossa maailmanlaajuisesti liikkuu paljon rahaa...:)

Vielä tästä haitakkeiden levittämisestä... oli ohjelma sitten avoin tai suljettu, niin kyllä vika olisi korjattava mahdollisimman nopeasti.

Terv. Heikki

Heikki Ojala kirjoitti:
<i>"Sitten, jos haitakkeita Linuxiinkin rantautuu, niin on aivan pakko alkaa todella pohtia, mistä, miten, mistä johtuu..."</i>

Erilaisia haitakkeita on jo. Niitä vastaan on onneksi jonkinlaisia työkalujakin. Esimerkiksi http://www.chkrootkit.org/

Pyytäisin arvoisilta keskustelukumppaneilta hieman aiheessa pysymistä. On suorastaan masentavaa nähdä keskustelu vakavasta tietoturvaongelmasta degeneroituvan lapselliseksi kone- ja käyttöjärjestelmäsodaksi.

En kerta kaikkiaan ymmärrä sitä ilkkumisen riemua minkä FOSS-advokaatit saavat, kun maailmalta löytyy uusi Windowsissa toimiva haittaohjelma. Vahingonilo on paras ilo ja pilkkahan ei osu omaan nilkkaan?

Tässä tapauksessa Xorer-haittaohjelma on nimen omaan Windows-ympäristöön suunniteltu. Ei ole mikään ihme, että rekisteristöön ja %systemroot%:iin pahojaan tekevä tuholainen ei toimi Linuxeissa. Vistan tietoturvakiristykset todennäköisesti osaavat myös suojata sen tartuntaominaisuuksilta.

Kannattaa kuitenkin katsoa mitä tämä ongelma tekee: normaalin Xorer-tartuttamisensa LISÄKSI se lataa kiinalaiselta isäntäsivustoltaan Javascriptiä ja suorittaa tätä. Eli jos selaimen käyttäjä on antanut selainliitännäiselleen ajo-oikeudet, pwnaa haxxor. Ja jos & kun käyttäjän selain on otettu haltuun, sitä kontrolloivat tahot voivat tehdä taustalla pahojaan. Esimerkiksi niin, että lataavat kiinalaiselta kontrollisivustolta viikon toimintaohjeet ja lähtevät esimerkiksi sitten itsekseen pommittamaan näitten mukaan kiristyksen kohteeksi joutunutta pelisivustoa. Loppukäyttäjä ei huomaa mitään.

Tämän tapaisten troijalaisten toiminta ei kuitenkaan rajoitu millään tavalla vain yhteen käyttöjärjestelmään.

Jos tämä tapaus asettaa jotain kyseenalaiseksi, on se Mozillan laadunvalvonta. Tästä selvästi näkee, että kaikkea lähdekoodia ei katselmoida, sovittua politiikkaa ei noudateta ja arkkitehtuurikin näyttää olevan enemmän suuntaa-antava.

Tuudittautuminen naiiviin "käytän vain FOSS-ohjelmia ja niissä ei ole tietoturvaongelmia" -tunnelmaa ei kannata.

Firefox on silti hyvä webbiselain.

- Ossi

"Mistähän tämä johtuu? Onkohan Linux niin vaikea ohjelmoitava? Eikö koodaajat osaa tehdä haittaohjelmia vaikka pääsevät asentamaan ne suoraan Linux-koneeseen?"

Asetuppa hetkeksi viruksen tekijän kenkiin.
Jos tarkoituksena on tehdä virus, joka leviää mahdollisimman monelle ja aiheuttaa mahdollisimman paljon haittaa, niin kummalle alustalle valitset viruksen tehtäväksi?

Jos itse olisin viruksen tekijä, niin en todellakaan valitsisi linuxia viruksen alustaksi, joka kattaa ehkä vain n. 5% koko maailman tietokoneista.

"Mistähän tämä johtuu? Onkohan Linux niin vaikea ohjelmoitava? Eikö koodaajat osaa tehdä haittaohjelmia vaikka pääsevät asentamaan ne suoraan Linux-koneeseen?"

Ensiksikin, Linux pohjaisissa ei yleensä ilman oikeuksia sössitä kotikansion ulkopuolella. Toisekseen, monet Linux -pohjaiset käyttikset sisältää erinomaisen päivitystoiminnon ja päivittävät kaiken heti eikä jätä komponentteja päivittämättä. Kolmanneksi, Windowseja käyttää tyhmät ihmiset ja näitä on helpompi hyväksikäyttää.

Ja neljänneksi, Windowseja on enemmän käytössä.

Ossi kommentoi:

"On suorastaan masentavaa nähdä keskustelu vakavasta tietoturvaongelmasta degeneroituvan lapselliseksi kone- ja käyttöjärjestelmäsodaksi."

Ossi, joka vakava titoturvaongelma siis kohdistuu Windows käyttöjärjestelmään, eikö totta?

Ei se mitään sotaa ole, jos tässä yhteydessä mainitsee, että tämäkään ongelma ei koske vaihtoehtokäyttiksiä...

Vaihtoehtokäyttiksen käyttäjien ei siis tarvitse huolestua lainkaan tästä sinänsä vakavasta uutisesta...

Mielestäni tämän tiedon tuominen keskusteluun on enemmän infoa kuin sodan lietsontaa...

Terv. Heikki

Matti kirjoitti:

"Ensiksikin, Linux pohjaisissa ei yleensä ilman oikeuksia sössitä kotikansion ulkopuolella."

Tällä ei itse asiassa tavallisen kotikäyttäjän koneeseen suunnattujen haittaohjelmien kannalta ole kovinkaan suurta väliä. Jos tarkoituksena on esim. lähettää spämmipostia tai näyttää käyttäjälle mainoksia niin se onnistuu vallan mainiosti ihan niillä tavallisen käyttäjän oikeuksilla.

Palomuuria sisääntuleville yhteyksille ei päästä ilman ylläpito-oikeuksia avaamaan, mutta myös tavallisen käyttäjän oikeuksilla voidaan käynnistää ohjelma, joka avaa yhteyden koneelta jonnekin muualle murrettuun palvelimeen (tyypillisesti Linuxeissa ei oletusarvoisesti rajoiteta mitenkään ulospäin meneviä yhteyksiä) ja sitä kautta voidaan vaikka muodostaa etäyhteys koneeseen.

Veikkaan, että kyllä niitä haittaohjelmia (tyypillisesti nimenomaan sovelluskohtaisia, hyödyntäen esim. selaimen haavoittuvuutta) alkaa valitettavasti Linux-puolellakin näkyä lisää kunhan markkinaosuus nousee riittävästi. Ja kyllä, olen itse Linux-käyttäjä ja ainakin toistaiseksi ollut tyytyväinen ongelmien vähäisyyteen.

Terveisin

Arto

"Ossi, joka vakava titoturvaongelma siis kohdistuu Windows käyttöjärjestelmään, eikö totta?"

Ei. Vakava tietoturvaongelma tässä on siinä, että Firefoxin kielipaketit sisältävät ajettavaa koodia. Eli jos asennat kielipaketin ja käytät sitä selaimen osana, annat samalla kolmannelle osapuolelle oikeuden ajaa koodiaan koneessasi. Lista JavaScriptiä sisältävistä kielipaketeista on 168 riviä pitkä ja löytyy täällä: http://lxr.mozilla.org/l10n/find?string=.js

Tämä on Mozillan oman politiikan vastaista. Ks. http://wiki.mozilla.org/Update:Ed...iewingGuide#Reviewing_Language_Packs

* Language packs should only include strings and not javascript
* Deny if: XML parsing errors in opening all menus, all pref-dialog panes,
Error console and Add-on manager.
* Deny if there is any non-language pack functionality.

Tässä tapauksessa koodikatselmointi oli joko jäänyt tekemättä tai tehty huolimattomasti. Haittakoodin pätkä oli vain yhden rivin mittainen, joten "Human Error" on täysin mahdollinen.

Asian korjaaminen ei onnistu kovinkaan helposti. Mozillan Axel Hecht kertoo seuraavaa:
"... Removing scripting abilities from language packs would be a major architectural change, maybe we can do that for Mozilla 2.

As long as we feeding standard DTDs to the xml parser, they can hook up
scripts.
...
an extension author could try to hide a bad script tag (malicious
or not) in a localization DTD at any time
"

- Ossi

Mä$än syy ihan selvästi. Minäkin käytän Firefoxia ja se on hyvä. Eli Firefox hyvä, Mä$ä paha. Jos joku toista mieltä, niin muista perustella mielipiteesi =). Uskoisin taas jälleen olevani oikeassa.

"Kolmanneksi, Windowseja käyttää tyhmät ihmiset ja näitä on helpompi hyväksikäyttää."

Tämmöistä älymystöä saisi olla enemmänkin liikkeellä.

Heikki Ojala kirjoitti:
<i>"Ei se mitään sotaa ole, jos tässä yhteydessä mainitsee, että tämäkään ongelma ei koske vaihtoehtokäyttiksiä...

Vaihtoehtokäyttiksen käyttäjien ei siis tarvitse huolestua lainkaan tästä sinänsä vakavasta uutisesta... "</i>

Jaa mikäettei tarvitse huolestua lainkaan?

Eikö sinua yhtään huolestuta, että Firefoxin mukana jaellaan haittaohjelmia? Eikö huolestuta, että tällaiset pääsevät OpenSource-projektin laaduntarkkailusta läpi?

Mua ainakin huolestuttaa, koska sieltä voi tulla seuraavaksi läpi joku "rm -rf ~" -troijalainen...