Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Savannah y Gentoo también comprometidos | Log in/Crear cuenta | Top | 28 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Re:Demasiadas coincidencias

    (Puntos:3, Interesante)
    por javifs (477) el Jueves, 04 Diciembre de 2003, 13:41h (#241237)
    ( http://people.debian.org/~jfs )

    Una de las cosas importantes al hablar de las tecnologías que mecionas (como las modificaciones del compilador introducidas por StackGuard y Propolice, o los parches al kernel) es que son, en cierta medida, "novedosas", tienen que se probadas antes de proporcionarlas a todos los usuarios a riesgo de que se rompan las cosas que sí funcionan. Esas pruebas se hacen y, poco a poco, las tecnologías se integran en los distintos puntos (en el núcleo 2.6 ya están algunas, como es el caso de LSM, y también las distribuciones van incorporándolas, en otros casos). Decir que eso no se está haciendo es faltar a la verdad, varios hechos: Debian proporciona los parches al núcleo de grsecurity, SElinux, OpenWall, y exec-shield (pronto también PaX y RSBAC, estoy en ello), RedHat también proporciona algunos de estos habilitados por defecto (exec-shield)

    También es falso que Cada vez salen mas bugs de linux y menos de windows, no hay datos que lo demuestren (y si crees que sí, demuestralo, y no valen enlaces a artículos que se quedan en la superficie). Es muy importante, además, considerar que no es fácil comparar dos sistemas operativos, uno que proporciona muchas aplicaciones y otro que no proporciona casi ninguna (compara el software que se provee en una distribución de GNU/Linux cualquiera con el que se le da alguien que compra una versión de Microsoft Windows). Vamos, churras y medinas. Te recomiendo que leas la sección de seguridad [dwheeler.com] de Why OSS/FS? si ésto no te ha convencido.

    Igualmente es falso que las distribuciones no han mejorado en seguridad, como tú dices, en años, algunos proyectos de software libre que se incluyen en las distribuciones de Linux (como Apache) realizan auditorías de código, y detectan estos problemas potenciales, las distribuciones incorporar nuevas tecnologías para proteger a los sistemas y a sus usuarios (sistemas de detección de intrusos, comprobaciones de integridad, etc.), las distribuciones minimizan el sistema base para reducir la exposición, etc, etc, etc.

    Nadie niega que sea mejorable, pero no se puede decir que no se avanza, cuando sí se hace.

    En cualquier caso, no le debes achacar los problemas a las personas que proporcionan el software, también quizás pensar qué has hecho tú por el software libre en materia de seguridad. ¿Has auditado algún programa y publicado tus resultados en Sardonix? ¿Has realizado una revisión de problemas y los has enviado como informes de errata?

    Criticar, criticar es fácil, poner manos a la obra y ayudar, eso parece que a muchos les resulta más complicado (como en el refrán ese de la fuerza por la boca) [sardonix.org]

    [ Padre ]

  • Re:Demasiadas coincidencias

    (Puntos:1)
    por kharkoma (12032) el Jueves, 04 Diciembre de 2003, 14:47h (#241260)
    ( http://kharkoma.homelinux.com/blog | Última bitácora: Domingo, 13 Febrero de 2011, 15:49h )
    Basicamente Cuando los datos se salen de un Buffer quedan en zonas de memoria no controladas por el programa, es decir con un bufferoverflow puedes sobrescribir zonas de memoria que no corresponde a tu proceso. EJEMPLO: Tu programa tiene un Array de 2 posiciones (la 0 y la 1) y vas y lo rellenas con 3 posiciones, la posicion 0 y 1 estan bien pero la 2 posicion (la tercera contando) se habra grabado en una zona de memoria que tu program no controla. imaginatae que al grabar has sobrescrito la zona de memoria de ortro programa donde se guardaba los datos de seguridad por ejemplo una variable que dijera si eres root o no, al sobreescribirse esa variable ya no indica la realidad y podrias utilizar ese bufferoverflow para por ejemplo ponerte privilegios de root ESTOE S MUY ESQUEMATICO Y EXPLICADO MUY POR ENCIMA. Salu2
    [ Padre ]

  • Re:Demasiadas coincidencias

    (Puntos:1)
    por sauromon (2792) <sauromonNO@SPAMgmx.net> el Viernes, 05 Diciembre de 2003, 07:40h (#241444)
    ( http://sauromon.homeip.net/ | Última bitácora: Sábado, 11 Junio de 2005, 10:30h )
    Bastante antiguo (del 2001) pero deberia ser justo lo que buscas, el artículo Fundamentos de los Buffer Overflow's [bulmalug.net] en Bulmalug.

    Espero que no sufra demasiado el servidor de Bulmalug por el barrapuntado
    [ Padre ]
  • 1 respuesta por debajo de tu umbral de lectura actual.