Bezpečnost a stabilita Applu

[vlk]

Dobrý den,

uvažuji o Applu (Mini macu), jako o svém dalším počítači. Chtěl jsem se zeptat, jak je to u operačního systému u Applu s bezpečností a stabilitou? Slyšel jsem, že prý na Applech údajně prakticky nejsou viry a operační systém vůbec nepotřebuje přeinstalace.

[sudanec]

Dobry den,
mac na opravu som dostal raz, odvtedy ich odmietam. Bol tam vir, ktory som odstranoval asi 2 dni, pretoze na mac neboli (a pokial viem stale nie su) ziadne diagnosticke ci ine utility potrebne na odvirovanie.
Videl som tiez kompletne umrety MAC, ktory bolo potrebne preinstalovat alebo cosi.. ale nastastie som cloveka ukecal, aby si kupil normalny stroj.

V principe, kupit si MAC ma iba styl a nic viac. Za uplne identicke zelezo zaplatite bez jablka casto aj menej ako polovicu penazi, a ked na nom mate dobre beziaci OS (ked chcete ist do MACu, mozno by stal za zvazenie iny unix, napr. nejaky linux), tak to je daleko pouzitelnejsie.

V 2 slovach: MAC fuj.

[vlk]

Díky za názor a zkušenosti. Máte někdo stejné zkušenosti?

[cappie]

V principe, kupit si MAC ma iba styl a nic viac. Za uplne identicke zelezo zaplatite bez jablka casto aj menej ako polovicu penazi, a ked na nom mate dobre beziaci OS

S touto časťou sa úplne stotožňujem, kúpte si radšej klasickú mašinku a keď chcete niečo bezpečnejšie ako win tak vyskúšajte Linux, pre začiatok môžem odporučiť Ubuntu.

[w^x]

Ultimatna hlupost.
Kupit si Mac znamena kupit si plnohodnotny multimedialny unix compatible operacny system ktory poskytuje pohodlie windowsu a ready to work environment s dev posix compatible nastrojmi.
Viete vy vobec ako sa siri malicious kod ?
Mac poskytuje defaultne velmi bezpecny environment (v ramci moznosti a komfortu). Teraz sa chysta app market co znamena centralizaciu a relativnu certifikovanu bezpecnost pre 3d party aplikacie.
Click based trojany su pre hlupakov...uvedomely uzivatel - nie debil nema sancu chytit nejaku haved. Okrem toho moze vyuzivat chrooty napr. na javu.

[sudanec]

V com je environment Mac-u bezpecnejsi ako environment Windowsu? Myslim principialne rozdiely, nie tie, ze na Mac prakticky malokto utoci.. lebo to proste neprinasa dostatocny zisk.

[w^x]

Napr. NX bit na vsetkych mac pocitacoch, W^X z obsd projektu, trustedbsd a prislusne sucasti, celkovy unixovy dizajn (teda ziadne zverstva ako old dll hijacking).
Jasne ze to nie je dokonaly system...nemoze sa to rovnat takemu custom linux kernelu ...
Ale Windows ? Useless DEP,SafeSEH, UAC...technologie ktore su v koncepte prebrate a maju dobre myslienky ale ich implementacia je absolutne ale absolutne zla a su na nic.

[sudanec]

Napr. NX bit na vsetkych mac pocitacoch, W^X z obsd projektu, trustedbsd a prislusne sucasti, celkovy unixovy dizajn (teda ziadne zverstva ako old dll hijacking).
Jasne ze to nie je dokonaly system...nemoze sa to rovnat takemu custom linux kernelu ...
Ale Windows ? Useless DEP,SafeSEH, UAC...technologie ktore su v koncepte prebrate a maju dobre myslienky ale ich implementacia je absolutne ale absolutne zla a su na nic.

NX bit? Ak myslite to, co pod tym ja rozumiem, tak si treba uvedomit, ze Mac stavia vsetky pocitace (dnes) na Intel platforme, takze pouziva XD bit, ktory je tym padom aj na vsetkych strojoch pre windows (resp. AMD ma tiez nieco obdobne).

Co je W^X? Tuto skratku nepoznam

Pokial mi je zname, security management windowsov je komplexnejsi ako trustedBSD. Problem je v tom, ze ten windowsovsky malokto ovlada. Tiez sa mozme bavit o SELinuxe.. co je pekna vec, ale nevyuziva to uz vobec nikto (zatial).

Co je na DEP useless? UAC vo windows 7? Ak by to ludia nevypinali, ono by to zmysel malo.. lenze podobne vypnut mozte prakticky cokolvek aj v unixe.
Skuste mi, prosim, vysvetlit, v com je ich implementacia

absolutne ale absolutne zla a su na nic

. Venujem sa tomu par rokov, viem, ze od dokonalosti maju daleko.. ale povedat toto je mozno trochu prehnane.
Rozhodne nie som obhajcom windows.. ale myslim, ze povedat, ze windows je zly a unix rulez.. je trochu tendencne az reklamne.

[w^x]

Ja som nepovedal ze windows suxx a unix rulez. Len som reagoval na to tvoje Mac je len o jablcku na kryte.
Security sa venujem tiez dost dlhu dobu. Mojou domenou su sice servery, unixy a botnety a o windows infiltraciach mam len teoreticke znalosti...ale aj tak.

Unixy samozrejme nie su mekkou bezpecnosti. Boze toto by ma nikdy nenapadlo tvrdit. Pravdupovediac napr. taka security default linux kernelu je zalostna...prezalostna.

Presne tak to je dalsim +som pre Mac. Ze stavia na relativnych bezpecnych platformach.

W^X je security mechanizmom projektu openbsd.
http://en.wikipedia.org/wiki/W%5EX
Osobne povazujem PaX za lepsi ako cokolvek ine.

Komplexita windowsacke access controlu je mozno dobra ale znovu...je zle implementovana !

Selinux sa samozrejme vyuziva resp. akykolvek Mandatory Access Control (Apparmor (ubuntu), smack,tomoyo). Je to standart. Samozrejme aj ich implementacia bola / je otazna (ale stale lepsia ako u windowsu). Napr. sctp_remote selinux exploit, kompletne vypnutie LSM (to co selinux vyuziva v skratke) od Bradleyho Spenglera (autora grsecu).

DEP,SafeSEH,UAC bypassy su na dennom poriadku. Napriklad jednoduchym BoFom bolo mozne kompletne vypnut UAC.

Edit: Ospravedlnujem sa za utocnejsi flame prejav.

[sudanec]

Pokial mi je zname, jedinu pouzitelnu podobu selinuxu do minuleho roku vytvorila NSA alebo nejaka podobna americka vojenska organizacia.. a mala niekolko milionov pravidiel, v beznej praxi sa to myslim nenasadzovalo. Teraz sa pracuje na zavedeni od general-purpose OS (bol som na obhajobe dizertacky p. Janacka z FMFI, ktory sa tomu venuje). Vy niekde SElinux pouzivate? Pokial viem, napr. Apparmor je velmi mizernou alternativou, ktory rozhodne take standardy nedosahuje a neviem o tom, ze by bol vobec kompatibilny s Common Criteria (nie ze by windows bol). Ak mate informacie o konkretnom nasadeni selinuxu v praxi.. rad by som ich videl - fakt o tom velmi neviem.

bypass - fajn. Akonahle loadnete driver na ring0 sa da bypassnut fakt vela veci.. podobne aj na linuxe. Zabezpecenie je na to, aby taketo cosi do systemu nevpustilo. Rozdiel vidim akurat v tom, ze v unixoch na to nemaju vyrobcovia malware nacielene zbrane.

[w^x]

V prvom rade vyvinula to NSA a teraz sa to za pomoci Red Hatu vyvijaju spolu.
Pouziva to napr. Fedora a RHEL. Pouziva sa to bezne velkymi hostingovymi spolocnostami. Holywood atd.


AppArmor by som nedegradoval...je to to iste len s inym pohladom na vec . Naviac pre desktop environment.
Ono povedat ze je AppArmor mizernou alternativou a nevediet o tom ani z bla je trosku zcestne.

Tu sa nejedna o to ). Ale o veci ako ret2eax, ret2ret , ret2libc a podobne ..

[sudanec]

Okay.. velku hostingovu spolocnost verim. Tu sme na fore viry.cz a porovnavame vyhody operacnych systemov a pocitacov pre bezneho domaceho pouzivatela, teda tam smerovala aj otazka na pouzitie.
O tom, ze cosi je vo Fedore som pocul - ale neviem, nakolko komplexne a pouzitelne.. a pocul som hlavne to, ze odkedy to tam je, bezny ludia bud nevedia instalovat veci, balicky atp., alebo si to vypinaju.. mozno je uz stav lepsi, bol by som rad.

[w^x]

Preto tu je AppArmor.

[sudanec]

Apparmor je v Mac OS?

[w^x]

Nie pouziva port Selinuxu.