Apa yang korang guna untuk protect buffer overflow?
Yang aku tahu stack guard & IBM GCC protector

Komen anda?

kena baca secure programming how-to :-) . Ada kat security focus

adakah dengan mengamalkan secure programming boleh selamatkan dari buffer overflow? Adakah secure programming hanya berkesan untuk format string?

banyak implementation yang orang buat untuk mengurangkan kesan buffer overflow ni..
cth: gr security kernel patch ke libsafe ke ... ni semua cara mudah nak elakkan sesetengah jenis buffer overflow la ... sebab kita tak dapat audit seluruh sistem so .. elok jugaklah pakai benda-benda macam ni ...

OpenBSD current dah boleh prevent buffer overflow ni .... cuba try sendiri ..... ingat current version !! ....
1 May 3.3 akan keluar hoohhooh!!!

Yap, kalo software tu buat sendiri.. Ok la.. but most of us just download..make make install. So mcm mana nak prevent unknown behavior software ni...

Kiriman asal oleh ambo
Yap, kalo software tu buat sendiri.. Ok la.. but most of us just download..make make install. So mcm mana nak prevent unknown behavior software ni...

Kalau nak bebetul secure you need to audit all your code before you compile :) OpenBSD does all that auditing, so it's pretty tight... the OpenBSD kernel also has some nice access control features with security in mind.

Still, if you're really paranoid, the only safe way is to check yourself :)

-= Obi-Wan =-

Yeah.. :)
banyak car a prevent..


1) dalam OS nih .. prevent main ler memacam cara audit source code ler.. pakai protector ler.. dsb..

2) dari network .. nih more on network things... :) deteact and react.. :) blok dsb.. memacam cara leh buat..

kalau betui2 paranoid jugak.. cabut cable network lock OS tuh dalam save room dan make sure hanya kita jer leh akses.. :) kalau kena jugak ler.. tuh kita sendiri yang buat ler.. hehehe..
:)

If you use Linux, you might be interested in Ingo Molnar's "Exec Sheild", a partial guard against buffer overrun attacks:

http://redhat.com/~mingo/exec-shield/

-= Obi-Wan =-

kalau tak silap aku ada linux distro yang dibina dan dicompile mengunakan c compiler yang dah optimized free dari buffer overflow..

anyway buffer overflow is one way to get into the system.. ada banyak cara lagi..

Social engineering... you don't know how many people write down their password and tampal kat monitor... :)

-= Obi-Wan =-

Hmm, ni sebenarnya utk survey. So, at least ada real user punya experience. Tujuannya utk menjadikan Linux the best OS for Server... (Lepas ni takde lagi reason utk beralih ke BSD)

Yelah 5-6 thn lepas, siapalah Linux ... ;(

So sekarang (from my opinion), status Linux:

Portability = Linux dah setanding NetBSD
Performance = Linux (i386 platform) dah setanding FreeBSD
Security = Linux still far behind OpenBSD

BTW: Security audit seem not to be so practical. After all, there is no use for server that rebooted when stack overflow happen.. So, the idea here is to make a balance between security, usability and reliability...

Kiriman asal oleh ambo
Hmm, ni sebenarnya utk survey. So, at least ada real user punya experience. Tujuannya utk menjadikan Linux the best OS for Server... (Lepas ni takde lagi reason utk beralih ke BSD)

Yelah 5-6 thn lepas, siapalah Linux ... ;(

So sekarang (from my opinion), status Linux:

Portability = Linux dah setanding NetBSD
Performance = Linux (i386 platform) dah setanding FreeBSD
Security = Linux still far behind OpenBSD

BTW: Security audit seem not to be so practical. After all, there is no use for server that rebooted when stack overflow happen.. So, the idea here is to make a balance between security, usability and reliability...


aku rasa tak berapa nak agree dengan hang punya opinion... salah satu nya... OpenBSD mmg secure... tapi penah anda test engarde linux... kalau penah.. and u see what i mean... security ni bukan depend pada system tu actually.. it's totally depend knowledge, awareness etc etc yg jaga system tu.. and i would say that windows can be secured very well kalau tahu cemana cara... :-)

agree with pengalir .. semua kena ada ilmu kalau ada ilmu windows leh disecurekan.. :) tapi kalau takda ilmu.. ada security first class pun tak guna..
:)

Cikgu aku masa sekolah dulu bagi tau jawab apa yang ditanya.

Jadi aku pulak kata, tahu apa yg kita buat.

Agree jugak :)
Tp masalahnya skrg mcm mana nak bg org lain (termasuk myself) bahawa Linux setanding openBSD?

Dulu rootshell.org pakai Linux, tp selepas kena hack terus pakai OpenBSD...
Padahal dia still guna the same software (Apache dll). Apasal?

Katalah kita naka buat webhosting, klien kata dia nak OpenBSD server sebab lebih secure. Apa aku nak jawab? Takkan la nak jawab mcm ni:
"semua kena ada ilmu kalau ada ilmu windows leh disecurekan.. tapi kalau takda ilmu.. ada security first class pun tak guna..
".
Tengok site mana yg banyak kena hack, deface... Takkan mereka ni semua takde ilmu?
(Mmg betul ada bbrp site ie: happyhackers.org pakai OpenBSD pun asyik kena hack gak, tp tu confirm la admin nye ada silap skit)

Yg aku tahu openBSD ada protection pdp stack overflow. Jadi that's the reason why this thread created...

Aku tahu Immunix pun keluar "Secure Version". Sama gak ngan NSA Secure Linux...
Dan aku sendiri pun tak penah guna....
Ini pun reason aku tanya komen korang semua yg dah pakai...

Mungkin soalan aku melalut sikit, sebab tu jawapanpun semacam jer...

PS: Sorila kalau terkasar bahasa. Sori, sori...

Ilmu, Pengalaman dan Peka

ada ilmu tapi tak der pengalaman susah jugak, ada ilmu dan pengalaman tapi tak peka lagi la susah.............. Ada vulnerable buat2 tak tau........... hehehheehe lebih suka cari kesilapan kain org............

OpenBSD implement it by default on 3.3 version :) \_/

Hurm...bagi aku la kan...security tak bergantung kepada OS kita guna...tapi bergantung kepada cara kita configure dan maintain OS tersebut ... kalau pakai openBSD pun...main install jerk...tak guna gak kan jika win2k tersebut yang di configure dengan baik sekali..so..kesimpulan yang aku dapat sampaikan....tak kira la apa OS kita guna....kalau configuration kita best....itulah yang terbaik :)



P/s :- Guna OS ikut keperluan sendiri bukan utk mengikut orang !

Katalah kita naka buat webhosting, klien kata dia nak OpenBSD server sebab lebih secure. Apa aku nak jawab? Takkan la nak jawab mcm ni:
"semua kena ada ilmu kalau ada ilmu windows leh disecurekan.. tapi kalau takda ilmu.. ada security first class pun tak guna..
".

hehehe jangan jawab camtu, kang takde client nak host , hehheehe :D

Kiriman asal oleh ambo
Agree jugak :)
Katalah kita naka buat webhosting, klien kata dia nak OpenBSD server sebab lebih secure. Apa aku nak jawab? Takkan la nak jawab mcm ni:
"semua kena ada ilmu kalau ada ilmu windows leh disecurekan.. tapi kalau takda ilmu.. ada security first class pun tak guna..
".


well sorry la.. :) aku kalau aku jawab macam melalut tapi yang aku nak stress apa saja.. OS leh disecure kan kalau kita tahu .. security process.. tuh yang kena ada ilmu.. so.. kalau client nak sesecure OpenBSD which also depends on security process also.. :) and also can be break if security process tak betui..

kalau client boss tanya of course aku jawab with explanation.. :) tapi since ko tanya aku suruh ko carik dulu la.. :) then kita bincang.. takkan nak listkan 1001 process yang perlu dibuat.. ?? then apa research yang ko dah buat ??

banyak recomended practice leh follow contoh untuk linux securing step by step oleh SANS.. pun leh ikut.. dsb..

balik kepada security luas.. terlampau banyak cabang dan bidang.. walau ko pakai openBSD pun tuh baru OS.. bab application kena check pulak sql secure ker idak.. config programming etc.. cukup banyak.. yang aku rasa kalau nak citer semuanya kat sini pun tak cukup..

so .. since ko punya soalan senornye pasal buffer overflow.. aku rasa soalan tuh dah di jawab.. :) khas untuk buffer overflow.. banyak cara nak protect .. library.. compiler etc.. macam sesetengah secure linux distro dicompile ngan compiler yang free dari buffer overflow.. dsb.. dan memacam lagi.. cara.. tuh baru buffer overflow.. kalau webhosting etc.. lagi banyak cara.. nak protect.. dan banyak process kena check..

rasanya elok get to the basic first.. :)

sysadmin memang ada ilmu tapi ilmu apa yang dia ada.. :) tak semua orang ada semua ilmu cam aku pun bukan semua ilmu security aku ada.. :) so.. ??
tuh yang kena faham.. kalau web hosting sysadmin jaga .. dia ker buat web ?? dia ker jaga database.. ?? bukan database admin ?? bukan web admin ?? so.. diaorang pun kena tahu security process dan security yang perlu bagi bidang depa.. tak gitu.. kalau OS secure programing web application tak secure tak guna gak.. still ada hole..

SO.. ??