On Tue, 24 Dec 2024 00:42:48 GMT, Marcin Debowski wrote:
> On 2024-12-23, Paweł Pawłowicz <p...@u...edu.pl> wrote:
>> W dniu 23.12.2024 o 13:11, Pixel®🇵🇱 pisze:
>> [...]
>>> Sądzę że to daaawno było. Obecnie user nie ma żadnych praw do
>>> wykonywania operacji ingerujących w system, jeśli jeszcze jest podpięty
>>> pod domenę, gdzie są mu odebrane wszystkie prawa, po za dopuszczonymi,
>>> to w zasadzie ma konto "only read" + środowisko oparte na jakimś
>>> wywołaniu do SQL gdzie raczej trudno "przesłać" czy "odebrać" infekcję.
>>
>> To zależy. Większość programów do sterowania aparaturą analityczną
>> wymaga konta administratora.
>
> Przede wszystkim, dla maszyn służbowych, powinien obowiązywać żelazny i
> bezwzględnie egzekwowany zakaz wkładania do takiej maszyny jakichkolwiek
> nieautoryzowanych urządzeń. Głównie chodzi o pendrajwy, ale nie tylko.

Tak powinno byc, ale tak sie nie da :-)

> Czy to konto administratora, czy zwykłego użytkownika, jest to rzecz
> wtĂłrna.

zwykly uzytkownik powinien miec mniejsze mozliwosci.

> Owszem, jak coś zaszyfruje dysk z danymi to jest pewien kłopot,
> ale niekoniecznie katastrofa (zakładam istnienie bezpiecznych kopii
> zapasowych).

I tu moze byc problem, jak zacznie szyfrowac powoli.

> Katastrofa za to jest jak wyciekną dane poufne/IP, np.
> (potencjalnie) patentowalne, lub dane wrażliwe klientów. To się zwykle
> zdarza z kont zwykłych użytkowników, nie adminów.

Teraz GIODO szaleje i olbrzymie kary nakłada.

> Jak maszyna ma wszystko zaktualizowane to może być podłączona do sieci.

A cóż to za niefrasobliwość - wszak aktualizacje poprawiaja znane
błędy. Pozostaje pewna ilość jeszcze nieznanych ... producentowi.

> Jak nie (część obsługi starszych instrumentów jest na systemach EOL), to
> nie może. Wtedy jest niestety pierniczenie z wymianą danych.

A tu rynek wymaga usług internetowych.

J.

do góry

On Tue, 24 Dec 2024 00:56:53 +0100, Rutkowski Jacek wrote:
> W dniu 08.12.2024 o 20:48, Arnold Ziffel pisze:
>> Pixel(R)?? <m...@p...onet.pl> wrote:
>>
>>> podobnie jak chcesz uciąć sobie palec, to sobie utniesz i żaden
>>> antywirus Ci tego nie zatrzyma, co najwyżej "krzyknie" że już jest "po
>>> zawodach" :)
>>
>> Chyba że masz taką piłę:
>>
>> https://www.youtube.com/watch?v=CUjat1JA_rw
>>
> Jak oni wykrywają mięso?
> Parówka raczej zimna była...
> Pojemnościowo?

Prad upływu. Przynajmniej tak pisza, bo ... pracownik uziemiony?

stół metalowy, ale on stołu nie dotyka. Czyzby faktycznie pojemnosc?

Ale pojemnosci różnych tam chyba nie brakuje.

J.

do góry

W dniu 24.12.2024 o 10:10, J.F pisze:

>> Przede wszystkim, dla maszyn służbowych, powinien obowiązywać żelazny i
>> bezwzględnie egzekwowany zakaz wkładania do takiej maszyny jakichkolwiek
>> nieautoryzowanych urządzeń. Głównie chodzi o pendrajwy, ale nie tylko.
>
> Tak powinno byc, ale tak sie nie da :-)

Oczywiście że się da :)

--
Pixel(R)??

do góry

On 2024-12-24, J.F <j...@p...onet.pl> wrote:
> On Tue, 24 Dec 2024 00:42:48 GMT, Marcin Debowski wrote:
>> On 2024-12-23, Paweł Pawłowicz <p...@u...edu.pl> wrote:
>>> W dniu 23.12.2024 o 13:11, Pixel®🇵🇱 pisze:
>>> [...]
>>>> Sądzę że to daaawno było. Obecnie user nie ma żadnych praw do
>>>> wykonywania operacji ingerujących w system, jeśli jeszcze jest podpięty
>>>> pod domenę, gdzie są mu odebrane wszystkie prawa, po za dopuszczonymi,
>>>> to w zasadzie ma konto "only read" + środowisko oparte na jakimś
>>>> wywołaniu do SQL gdzie raczej trudno "przesłać" czy "odebrać" infekcję.
>>>
>>> To zależy. Większość programów do sterowania aparaturą analityczną
>>> wymaga konta administratora.
>>
>> Przede wszystkim, dla maszyn służbowych, powinien obowiązywać żelazny i
>> bezwzględnie egzekwowany zakaz wkładania do takiej maszyny jakichkolwiek
>> nieautoryzowanych urządzeń. Głównie chodzi o pendrajwy, ale nie tylko.
>
> Tak powinno byc, ale tak sie nie da :-)

Da się jak najbardziej. Nigdy nie włożyłem żadnego pendrajwa do mojego
pracowego laptopa. Zdarza mi się mysz, gdzie oceniam ryzyko jako
pomijalne, ale co do zasady nie powinno się.

>> Czy to konto administratora, czy zwykłego użytkownika, jest to rzecz
>> wtĂłrna.
>
> zwykly uzytkownik powinien miec mniejsze mozliwosci.

I ma, ale zasadniczo to większość obecnych włamów to kwestia
socjotechniki i końcowego użytkownika. No chyba, ze dyskusja dotyczy
wyłącznie serwerów. Tu to MZ albo ktoś musi bardzo chcieć się komuś
włamać, albo ktoś inny dać gdzieś dupy.

>> Owszem, jak coś zaszyfruje dysk z danymi to jest pewien kłopot,
>> ale niekoniecznie katastrofa (zakładam istnienie bezpiecznych kopii
>> zapasowych).
>
> I tu moze byc problem, jak zacznie szyfrowac powoli.
>
>> Katastrofa za to jest jak wyciekną dane poufne/IP, np.
>> (potencjalnie) patentowalne, lub dane wrażliwe klientów. To się zwykle
>> zdarza z kont zwykłych użytkowników, nie adminów.
>
> Teraz GIODO szaleje i olbrzymie kary nakłada.

Też. Ale odszkodowania lub utracone zyski mogą być dużo większe.

>> Jak maszyna ma wszystko zaktualizowane to może być podłączona do sieci.
>
> A cóż to za niefrasobliwość - wszak aktualizacje poprawiaja znane
> błędy. Pozostaje pewna ilość jeszcze nieznanych ... producentowi.

Zirodeje to juĹź nie te czasy. To raczej skarb na ktĂłrym moĹźna dobrze
zarobić sprzedając rządom, twórcom rozmaitych pegazusów i podobnych. No
ale wtedy na ogół nawet nie wiesz, że miałeś włamanie. Dużo łatwiej jest
pojechać właśnie po socjotechnice. Ktoś gdzieś kliknie, włoży gdzie
niepowinien :)

>> Jak nie (część obsługi starszych instrumentów jest na systemach EOL), to
>> nie może. Wtedy jest niestety pierniczenie z wymianą danych.
>
> A tu rynek wymaga usług internetowych.

U mnie z 80% maszyn obsługi instrumentów jest EOL. Nikt nie będzie
kupował nowego SEMu czy FTIR żeby chodziło z najnowszym oprogramowaniem
pod najnowszym windołs.

--
Marcin

do góry

W dniu 24.12.2024 o 12:31, Marcin Debowski pisze:
> On 2024-12-24, J.F <j...@p...onet.pl> wrote:
>> On Tue, 24 Dec 2024 00:42:48 GMT, Marcin Debowski wrote:
>>> On 2024-12-23, Paweł Pawłowicz <p...@u...edu.pl> wrote:
>>>> W dniu 23.12.2024 o 13:11, Pixel(R)???????????? pisze:
>>>> [...]
>>>>> Sądzę że to daaawno było. Obecnie user nie ma żadnych praw do
>>>>> wykonywania operacji ingerujących w system, jeśli jeszcze jest podpięty
>>>>> pod domenę, gdzie są mu odebrane wszystkie prawa, po za dopuszczonymi,
>>>>> to w zasadzie ma konto "only read" + środowisko oparte na jakimś
>>>>> wywołaniu do SQL gdzie raczej trudno "przesłać" czy "odebrać" infekcję.
>>>>
>>>> To zależy. Większość programów do sterowania aparaturą analityczną
>>>> wymaga konta administratora.
>>>
>>> Przede wszystkim, dla maszyn służbowych, powinien obowiązywać żelazny i
>>> bezwzględnie egzekwowany zakaz wkładania do takiej maszyny jakichkolwiek
>>> nieautoryzowanych urządzeń. Głównie chodzi o pendrajwy, ale nie tylko.
>>
>> Tak powinno byc, ale tak sie nie da :-)
>
> Da się jak najbardziej. Nigdy nie włożyłem żadnego pendrajwa do mojego
> pracowego laptopa.

W realiach pracy laboratorium na uczelni nie da się.

Paweł

do góry

Pixel(R)?? <m...@p...onet.pl> wrote:
> W dniu 11.12.2024 o 03:22, Waldek Hebisch pisze:
>
>>> Tak niezupełnie :) Wiruchów na Linuxa całkiem sporo (wszelakie routery,
>>> rejestratory, kamery są infekowane co dziennie), że o lukach nie
>>> wspomnę...tyle że to zupełnie inne środowisko a userzy nawet często o
>>> tym nie wiedzą.
>>
>> Podatności to nie wirusy. A zamknięte urządzenia to inna broszka,
>> często nie są aktualizowone przez lata. Nie mówiąc o tym że
>> producent zostawia jakiś tylne wejścia dla serwisu czy po prostu
>> spieprzy swoje dodatki, tak że są luki których nie ma normalna
>> instalacja Linux-a.
>
> No właśnie zwykła instalacja Linuksa, posiada luki...które co jakiś czas
> są znajdowane, mało tego, one istnieją od dawna.
> https://gagadget.pl/428411-nowa-luka-w-systemie-linu
x-luka-wall-stanowi-zagrozenie-dla-bezpieczenstwa/
>
> https://kapitanhack.pl/2024/02/12/nieskategoryzowane
/uwaga-wiekszosc-systemow-linux-narazona-na-calkowit
e-przejecie-z-powodu-luki-w-zabezpieczeniach-shim/
>
> Takie szybkie przykłady.
>
> Po prostu, nikt tego nie bada tak dokładnie jak to ma się przy Windows.

Bada, dlatego są znajdowane. To że są luki nie oznacza że łatwo
je użyć:
- znane luki są szybko łatane
- zwykle są dodatkowe warunki

Jeśli oczekujesz systemu bez luk, to raczej nie znajdziesz, przynajniej
jak chcesz by system był pożyteczny.

>> W mieszanym środowisku, serwer Linux, userzy mieszanka Windows
>> i Linux-a ci na Windows dość regularnie łapali wirusy, a
>> na Linux-ie nie było problemu.
>
> Tak było kiedyś, od Windows 10 jest już spora zmiana.

Teoretycznie jest spora zmiana od koło 20 lat. A wirusy dalej
robiły i robią swoje. Większa zmiana to raczej to że firmy
bardziej zwracają uwagę na bezpieczeństwo.

>>> Inna sprawa, że Linuks na desktopie w firmie, jest
>>> nieprzydatny. Do obsługi poczty czy www wystarczy cokolwiek a firma ma
>>> jednak wymagania (pakiet office z Outlook, SQL, programy firmowe itd).
>>
>> Zależy od firmy. Programy firmowe (tzn. pisane wewnątrz firmy) to w
>> pewnym sensie najmniejszy problem, jak je napiszą pod Linux-a to będą
>> chodzić pod Linux-em. Problemem mogą być specjalizowane programy
>> od dostawców komercyjnych. Oracle ma wersję na Linux-a więc baza
>> danych SQL sama w sobie to nie problem. Kupiłem sobie niedawno
>> używany mini-PC, sporo takich było sprzedawanych dla firm i działało.
>
> Nie tak. Większość firm (jakieś 90) używa programów dostępnych pod
> Windows, szczególnie że to ma mieć korelację z programami księgowymi +
> wsparcie i szkolenia. Nikt się tutaj nie wygłupia z Linuksem, bo nie
> jest to ani opłacalne ani praktyczne. Chodzi głównie o kompatybilność
> czy przesyłanie baz danych/cokolwiek.

Zobacz sobie np.

https://www.unicon.com/de/elux

to jest dla firm i na desktop. Nie wiem jak to popularne, jeśli
to np. 1% desktopów w firmach, to ciągle spory rynek. Jak tobie
czy twojej firmie to nie pasuje, to wasza sprawa. Innym pasuje
i używają.

>> W firmach często kluczowe oprogramowanie chodzi na sewerach.
>> Te powinny być lepiej pilnowane i normalnie wirus nie powinien
>> się dostać na serwer.
>
> Zgadza się ale i tak większość tego oprogramowania serwerowego, również
> jest na platformę Windows Server bo to ma współgrać a serwer musi być
> odpowiednio zabezpieczony. Inna sprawa, że na serwerze się raczej nie
> pracuje wobec czego infekcja praktycznie nie wchodzi w grę (sama się nie
> wykona).
>>
>> Problemem mogą być userzy. Np. userce w poczcie Linux-owj nie
>> pokazywał się załącznik. Admin popatrzył na to i mówił że to
>> prawie na pewno wirus. Userka się uparła że musi to przeczytać.
>> To admin jej to przeniósł na komputer z Windows, też się nic nie
>> pokazało. A potem admin czyścił tego Windowsa z wirusa...
>
> Sądzę że to daaawno było.

Dawno. Ale userzy sie tak bardzo nie zmienili.

> Obecnie user nie ma żadnych praw do
> wykonywania operacji ingerujących w system, jeśli jeszcze jest podpięty
> pod domenę, gdzie są mu odebrane wszystkie prawa, po za dopuszczonymi,
> to w zasadzie ma konto "only read" + środowisko oparte na jakimś
> wywołaniu do SQL gdzie raczej trudno "przesłać" czy "odebrać" infekcję.

Zależy od systucji. Konto czysto "read only" jest prawie bezużyteczne.
A jak user może coś zrobić to wirus "w jego imieneniu" może narozrabiać.
W jednej firmie wirus zaszyfrował dane na serwerze. Z tego co słyszałem
nie włamał się na serwer, po prostu użytkownicy z Windowsa mieli
prawo (i obowiązek, to była ich praca) edytować dane. Jak jeszcze
userzy mogą używać powiedzmy makr z Office, to chwila nieuwagi usera
i firma może mieć problem.

Mogą być zaszłości gdzie coś "musi" działać z uprawinieniami
administratora.

Inna sprawa to używanie służbowego laptopa "na wyjazdy" czy
w domu (albo domowego w pracy). Laptop może coś złapać poza
firmą i to przynieść do środka.

Jeszcze inna rzecz to oficjalne zasady a praktyka. Jest stara
historia o irańskim ośrodu badań jądrowych. Teoretycznie komputery
całkowicie odizolowane od świata, pracownicy prześwietlani na
lojaność, rewizje osobiste przy wejściu i wyjściu. A wirus się
dostał do środka i niszczył wirówki.

--
Waldek Hebisch

do góry