Forum » Informacijska varnost » Linus (zopet) strelja buče
Linus (zopet) strelja buče
denial ::
Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.
Linus Torvalds
SELECT finger FROM hand WHERE id=3;
Poldi112 ::
Meni se zdi da je čisto res kar pravi. Je pa res da je način kako to pove rahlo šibak. Mogoče mu je pa Theo za vzgled.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
andromedar ::
OpenBSD je pač zadeva s samo eno vizijo: narediti čim bolj varen sistem. Vse ostalo je menda res v drugem planu. Ampak jaz tukaj ne vidim problema - če se ti to ne dopade, pač uporabljaj FreeBSD, da ne rečem GNU/Linuxa. Res mi ni jasno zakaj ga to moti, saj mu (Linuxu)(menda) ne odžirajo davkoplačevalskega denarja. Sponzorirajo jih pač tisti, ki to hočejo ali potrebujejo. Bolj sporen (?) se mi zdi obstoj 1000 malih Linux distribucij, ki cuzajo sicer malo denarja od sponzorjev in so zato še vedno polizdelki. Centralizacija juhej!
Eh?
samek ::
Js pa mislm, da Linus zadnje čase preveč klobasa. Pred časom mu ni bil všeč gnome, zdej mu pa OpenBSD ni. Sam mislm, da ima OpenBSD kr pomembno vlogo tudi za nas, ki ne uporabljamo OpenBSDja in to zaradi njihovega vzporednega razvoja OpenSSHja. Pa tudi ne moriš kr tko lahko metati v en koš OpenBSDja in Linuxa. OpenBSD ima mal drugačno _filozofijo_ kot Linux.
To je sam še en flamewar in nch druzga :)
To je sam še en flamewar in nch druzga :)
/dev/null
Zgodovina sprememb…
- spremenil: samek ()
Mavrik ::
Linus je pač fanboy, kar niti ni presenetljivo. Kot vse ostale fanboye ga ne jemlješ čist resno pa je.
The truth is rarely pure and never simple.
Poldi112 ::
Linus je samo neposreden. Pove kar misli, brez da bi razmišljal koga bo pri tem užalil.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
BigWhale ::
Jure ima prav. ;>
Kar se pa gnome-a in Linusa tice, to je stvar preteklosti. Se je zgodilo nekaj let? nazaj. :)
Kar se pa gnome-a in Linusa tice, to je stvar preteklosti. Se je zgodilo nekaj let? nazaj. :)
kronik ::
Linux je v primerjavi z OpenBSD navadno skupocalo. Linus pa ocitno ne najde bolsih argumentov 
denial ::
What the fuck is going on here?
Torej, Brad Spengler/PaX Team (www.grsecurity.net) trdi, da je Linusova politika glede kernel bugov v nasprotju s formalnimi postopki navedenimi v kernel dokumentaciji. Ta gre nekako takole: "We prefer to fully disclose the bug as soon as possible." Brad je tako mnenja, da bi morali biti kernel security bugi ustrezno označeni, komentirani in rangirani. Linus nasprotno trdi, da je zanj bug pač bug, da ne bo delal razlik med security/non-security bugi, saj bi, po njegovo, le olajšale delo skript kiddijem. Zato so komentarji bugov (commit messages) naslednji: x86_64 ptrace: fix sys32_ptrace task_struct leak. OK, skopost z informacijami, čeprav kontradiktorna, je nekako razumljiva, vendar je Linusovo početje in apatija pred varnostnimi raziskovalci prešla meje razumnega (pa tudi dobrega okusa).
Še več, Linus je naravnost povedal, da z raznimi security organizacijami noče imeti nič:
Poznamo tri faze odnosa razvijalec-raziskovalec: fazo zanikanja, fazo jeze (in/ali tožb) ter fazo sprejemanja. Microsoft je že nekaj let v fazi sprejemanja, Linus je več kot očitno v fazi jeze. Kar sploh ne čudi, hroščev v jedru je namreč vedno več.
V deželici pingvinov zadeve še zdaleč niso rožnate, še več, vse bolj prihajajo na plano velike pomankljivosti in nasprotja. Korporativni pingvin bo moral pristati na realna tla, objektivno pogledati zadeve in priznati napake. Microsoft je to storil s SDL in stvari so se radikalno spremenile. Na boljše seveda.
Torej, Brad Spengler/PaX Team (www.grsecurity.net) trdi, da je Linusova politika glede kernel bugov v nasprotju s formalnimi postopki navedenimi v kernel dokumentaciji. Ta gre nekako takole: "We prefer to fully disclose the bug as soon as possible." Brad je tako mnenja, da bi morali biti kernel security bugi ustrezno označeni, komentirani in rangirani. Linus nasprotno trdi, da je zanj bug pač bug, da ne bo delal razlik med security/non-security bugi, saj bi, po njegovo, le olajšale delo skript kiddijem. Zato so komentarji bugov (commit messages) naslednji: x86_64 ptrace: fix sys32_ptrace task_struct leak. OK, skopost z informacijami, čeprav kontradiktorna, je nekako razumljiva, vendar je Linusovo početje in apatija pred varnostnimi raziskovalci prešla meje razumnega (pa tudi dobrega okusa).
Še več, Linus je naravnost povedal, da z raznimi security organizacijami noče imeti nič:
I refuse to have anything to even do with organizations like vendor-sec that I think is a corrupt cluster-fuck of people who just want to cover their own ass.
Poznamo tri faze odnosa razvijalec-raziskovalec: fazo zanikanja, fazo jeze (in/ali tožb) ter fazo sprejemanja. Microsoft je že nekaj let v fazi sprejemanja, Linus je več kot očitno v fazi jeze. Kar sploh ne čudi, hroščev v jedru je namreč vedno več.
V deželici pingvinov zadeve še zdaleč niso rožnate, še več, vse bolj prihajajo na plano velike pomankljivosti in nasprotja. Korporativni pingvin bo moral pristati na realna tla, objektivno pogledati zadeve in priznati napake. Microsoft je to storil s SDL in stvari so se radikalno spremenile. Na boljše seveda.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
jype ::
denial> Linus je več kot očitno v fazi jeze. Kar sploh ne čudi, hroščev v jedru je namreč vedno več.
Daj ne nakladaj, no. Koliko varnostnih popravkov jedra je pa Linus zavrnil, da take stresaš?
Here's a hint: nobenega do zdaj.
Seveda je hroščev v jedru vedno več, saj je razvoj jedra vedno hitrejši, veča pa se tudi število platform, ki jih jedro podpira.
Linusu se pač zdi, da je bolj pomembno, da razvoj jedra ubere kompromis med varnostjo, zmogljivostjo in funkcionalnostjo, kot pa da je zgolj najbolj varno. To seveda pomeni, da morajo uporabniki sprejeti odločitev o tem, ali je to dovolj dobro, in se po možnosti odločiti za različico jedra, ki je orientirano bolj proti varnosti (grsec).
Enako pač Theo pove, da "See, I think that many people in the 'industry' are really into 'new, great, wonderful' sorts of things, but around here we're very much just cleaning things up so that it works 'better,' before it does 'more.'" (kadar je dobre volje), ali pa "Scaling isn't really our concern; I barely know what the word means. There is one group of people who we do know scales. Whiners. They scale really well.", ko ni.
In OpenBSD je še vedno žival, ki je v praksi neuporabna za kakršenkoli strežniški sistem, ki mora dejansko zadostiti potrebam odjemalcev.
Daj ne nakladaj, no. Koliko varnostnih popravkov jedra je pa Linus zavrnil, da take stresaš?
Here's a hint: nobenega do zdaj.
Seveda je hroščev v jedru vedno več, saj je razvoj jedra vedno hitrejši, veča pa se tudi število platform, ki jih jedro podpira.
Linusu se pač zdi, da je bolj pomembno, da razvoj jedra ubere kompromis med varnostjo, zmogljivostjo in funkcionalnostjo, kot pa da je zgolj najbolj varno. To seveda pomeni, da morajo uporabniki sprejeti odločitev o tem, ali je to dovolj dobro, in se po možnosti odločiti za različico jedra, ki je orientirano bolj proti varnosti (grsec).
Enako pač Theo pove, da "See, I think that many people in the 'industry' are really into 'new, great, wonderful' sorts of things, but around here we're very much just cleaning things up so that it works 'better,' before it does 'more.'" (kadar je dobre volje), ali pa "Scaling isn't really our concern; I barely know what the word means. There is one group of people who we do know scales. Whiners. They scale really well.", ko ni.
In OpenBSD je še vedno žival, ki je v praksi neuporabna za kakršenkoli strežniški sistem, ki mora dejansko zadostiti potrebam odjemalcev.
denial ::
Daj ne nakladaj, no. Koliko varnostnih popravkov jedra je pa Linus zavrnil, da take stresaš?
Ne bi vedel. Verjamem da nobenega, čeprav se šušlja, da je bilo kar nekaj bugov "silently pathed".
Seveda je hroščev v jedru vedno več, saj je razvoj jedra vedno hitrejši, veča pa se tudi število platform, ki jih jedro podpira.
To dejstvo je bilo do nedavno za uporabnike Linuxa popolna neznanka. In seveda glavni argument proti Windows fanboyem. Lep primer bumerang efekta.
Linusu se pač zdi, da je bolj pomembno, da razvoj jedra ubere kompromis med varnostjo, zmogljivostjo in funkcionalnostjo, kot pa da je zgolj najbolj varno.
To ni sporno. Sporen je njegov način objavljanja kernel bugov ter, več kot očitna, patološka apatija do securiry related zadev.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
Daedalus ::
To ni sporno. Sporen je njegov način objavljanja kernel bugov ter, več kot očitna, patološka apatija do securiry related zadev.
Jap, tip bi se šal nekakšen security trough obscurity. Me prav malo briga, če je alfa inu omega lunix kernela - tak pristop je napačen. Dokazano v praksi.
Kar se pa bsd-ja tiče. V Pipi smo firewall/router sportali na obsd in se znebili grozljive iptables konfiguracije. Zdaj je tista solata sportana v eno kratko skripto in dela super. Kaj več pa na to temo ne vem.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Brane2 ::
Meni se je Linus vedno zdel razumen tip z nekim internim balansom zaradi katerega nikoli ni aktivno zahajal v skrajnosti in "svete vojne".
To pa da izjavi kdaj kaj takega, se mi zdi povsem normalno.
Je v fokusu razvoja kernela, kjer ga mnogo ljudi poskuša masirat in prevzgajat, če ne drugače pa z "Linus bi moral to in ono".
Spomnim se recimo masaže okrog Reiserja. Takrat se mi je zdelo, da mogoče Linus rahlo komplicira ampak kot je sedaj videti, so bili vsi njegovi pomisleki "dead on the target".
In če držijo ta neka splošnoznana dejstva okrog BSDja, potem ga tudi tu razumem.
Kaj ti koristi neskončno mentalno izdrkavanje VarnostVarnostVarnostVarnost, če je tvoja zadeva toliko za časom da je mnogokje neuporabna ?
Jasno, ponekod je verjetno optimalna, ampak še zdaleč ne povsod in zato neka religiozna prepričevanja vsega folka tu odpadejo.
Sploh pa tip samo pravi, da ne vidi razloga zakaj bi glorificiral nek _possible_ exploit, ki ga je mogoče celo kdo kje demonstriral in zaradi tega prezrl nek trivial bug v VFS recimo, ki bo lahko kar nekaj uporabnikom sesul filesystem.
To pa da izjavi kdaj kaj takega, se mi zdi povsem normalno.
Je v fokusu razvoja kernela, kjer ga mnogo ljudi poskuša masirat in prevzgajat, če ne drugače pa z "Linus bi moral to in ono".
Spomnim se recimo masaže okrog Reiserja. Takrat se mi je zdelo, da mogoče Linus rahlo komplicira ampak kot je sedaj videti, so bili vsi njegovi pomisleki "dead on the target".
In če držijo ta neka splošnoznana dejstva okrog BSDja, potem ga tudi tu razumem.
Kaj ti koristi neskončno mentalno izdrkavanje VarnostVarnostVarnostVarnost, če je tvoja zadeva toliko za časom da je mnogokje neuporabna ?
Jasno, ponekod je verjetno optimalna, ampak še zdaleč ne povsod in zato neka religiozna prepričevanja vsega folka tu odpadejo.
Sploh pa tip samo pravi, da ne vidi razloga zakaj bi glorificiral nek _possible_ exploit, ki ga je mogoče celo kdo kje demonstriral in zaradi tega prezrl nek trivial bug v VFS recimo, ki bo lahko kar nekaj uporabnikom sesul filesystem.
On the journey of life, I chose the psycho path.
jype ::
denial> To dejstvo je bilo do nedavno za uporabnike Linuxa popolna neznanka. In seveda glavni argument proti Windows fanboyem. Lep primer bumerang efekta.
Windows ne teče na prav veliko različnih platformah, prav tako pa se praktično ne dodaja nove funkcionalnosti (z izjemo DRM). Kako je torej to "argument proti Windows fanboyem" ?
denial> To ni sporno. Sporen je njegov način objavljanja kernel bugov ter, več kot očitna, patološka apatija do securiry related zadev.
Kaj točno je spornega? Objavi se _vse_ hrošče. Hroščev z varnostnimi implikacijami pač ne želi posebej obravnavati, kar je po moje povsem legitimna odločitev (z njo se sam sicer ne strinjam, vendar me ta njegova odločitev nič ne ovira pri tem, da sam ne ustanovim skupine ljudi, ki bo skrbela za obveščanje o varnostnih težavah in popravkih za Linux jedro (in prepričan sem, da mi pri takem početju Linus ne bo nič nagajal).
Windows ne teče na prav veliko različnih platformah, prav tako pa se praktično ne dodaja nove funkcionalnosti (z izjemo DRM). Kako je torej to "argument proti Windows fanboyem" ?
denial> To ni sporno. Sporen je njegov način objavljanja kernel bugov ter, več kot očitna, patološka apatija do securiry related zadev.
Kaj točno je spornega? Objavi se _vse_ hrošče. Hroščev z varnostnimi implikacijami pač ne želi posebej obravnavati, kar je po moje povsem legitimna odločitev (z njo se sam sicer ne strinjam, vendar me ta njegova odločitev nič ne ovira pri tem, da sam ne ustanovim skupine ljudi, ki bo skrbela za obveščanje o varnostnih težavah in popravkih za Linux jedro (in prepričan sem, da mi pri takem početju Linus ne bo nič nagajal).
Zgodovina sprememb…
- spremenilo: jype ()
denial ::
Windows ne teče na prav veliko različnih platformah, prav tako pa se praktično ne dodaja nove funkcionalnosti (z izjemo DRM).
Glede števila platform drži. Glede funkcionalnosti: tako na hitro se (poleg DRM
) spomnim še: ASLR, PatchGuard, Protected process, Session isolation, Service hardening, UAC, BitLocker... Torej, ne govori na pamet.Linus lahko buge seveda objavlja na način kakor mu najbolj ustreza. He's the king. Mimogrede naj odpravi še dogovorjena pravila saj so itak le pesek v oči. Yeah, hypocrisy rules!!
EDIT:
Da ne omenjam kakšne kritike bi bil deležen MS, če bi bil security bulletin izgledal takole: XP_SP2 RPC PNP_GetDeviceList() exhaustion.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
BigWhale ::
Linus lahko buge seveda objavlja na način kakor mu najbolj ustreza. He's the king. Mimogrede naj odpravi še dogovorjena pravila saj so itak le pesek v oči. Yeah, hypocrisy rules!!
Katerih pravil se pa ne drzi?
denial ::
Katerih pravil se pa ne drzi?
Uh, ne vem, mogoče tega:
"The goal of the Linux kernel security team is to work with the bug submitter to bug resolution as well as disclosure. We prefer to fully disclose the bug as soon as possible."
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
jype ::
Stavku, ki se začne z "We prefer..." težko rečeš pravilo, poleg tega pa se ne spomnim, kdaj so nazadnje razvijalci skrivali varnostno težavo v jedru. Me lahko razsvetliš?
denial ::
@jype:
Pa jih imenuj postopki, uzance, dogovori ali kakor ti pač ustreza.
Poanta skrivanja je, da zanj nihče ne (iz)ve. Ali ne? Poleg tega, če pogledaš malo višje, lahko prebereš naslednje:
jype:
Daj ne nakladaj, no. Koliko varnostnih popravkov jedra je pa Linus zavrnil, da take stresaš?
denial:
Ne bi vedel. Verjamem da nobenega, čeprav se šušlja, da je bilo kar nekaj bugov "silently pathed".
Da so zadeve "silenty patched" pa tudi ni prišlo iz mojega zeljnika, temveč je to izjavil sam Brad Spengler:
Kakorkoli, ni moj namen nikogar prepričevati. Kako gre že tisti famozni citat:
Pa jih imenuj postopki, uzance, dogovori ali kakor ti pač ustreza.
Poanta skrivanja je, da zanj nihče ne (iz)ve. Ali ne? Poleg tega, če pogledaš malo višje, lahko prebereš naslednje:
jype:
Daj ne nakladaj, no. Koliko varnostnih popravkov jedra je pa Linus zavrnil, da take stresaš?
denial:
Ne bi vedel. Verjamem da nobenega, čeprav se šušlja, da je bilo kar nekaj bugov "silently pathed".
Da so zadeve "silenty patched" pa tudi ni prišlo iz mojega zeljnika, temveč je to izjavil sam Brad Spengler:
They seem to have the impression that people who find an exploit kernel vulnerabilities rely on the commit messages fixing the vulnerability including some mention of security. As it should be clear to anyone actually involved in the security community, or anyone who has ever written an exploit (particularly for the myriad silently fixed
vulnerabilities in Linux), this is far from reality. The people who *do* rely on these messages and announcements however are the smaller distributions and individual users. Yet Linus et al believe they're helping you by pulling the wool over your eyes regarding the exploitable
vulnerabilities in their OS.
Kakorkoli, ni moj namen nikogar prepričevati. Kako gre že tisti famozni citat:
You take the blue pill and the story ends. You wake in your bed and believe whatever you want to believe. You take the red pill and you stay in Wonderland and I show you how deep the rabbit-hole goes.
SELECT finger FROM hand WHERE id=3;
PaX_MaN ::
Saj je rekel, da security bugov ne obešajo na veliki zvon. Niti popravkov za njih,očitno. In potem vsak, ki mu ne pošljejo sto mejlov spama o tem, kako so spremenili eno vrstice kode, bobna, da "they're ... pulling the wool over your eyes".
BigWhale ::
Ja, problem je to, da se najbrz komu zgodi, da kak patch submitta, potem se pa nanj pozabi. Ne mores verjeti!
denial ::
@PaX_MaN:
Kakšen zvon neki? Tip bi rad uvedel security through obscurity. Še ena njegova cvetka iz kategorije "everything you know about Linus is wrong":
Zveni znano? Seveda, "trust us, it works" način razmišljanja, ki je značilen za velike, zlobne, osovražene closed-source korporacije.
Pa še ena, s katero se popolnoma strinjam:
Jap, security je velikokrat res le cirkus. Problem nastane takrat ko to ni.
Kakšen zvon neki? Tip bi rad uvedel security through obscurity. Še ena njegova cvetka iz kategorije "everything you know about Linus is wrong":
I personally don't like embargoes. I don't think they work. That means that I want to fix things asap. But that also means that there is never a time when you can "let people know", except when it's not an issue any more, at which point there is no point in letting people know any more.
Zveni znano? Seveda, "trust us, it works" način razmišljanja, ki je značilen za velike, zlobne, osovražene closed-source korporacije.
Pa še ena, s katero se popolnoma strinjam:
... my responsibility is to do a good job. And not pander to the people who want to turn security into a media circus.
Jap, security je velikokrat res le cirkus. Problem nastane takrat ko to ni.
SELECT finger FROM hand WHERE id=3;
Brane2 ::
Ne štekam v bistvu, kaj bi rad.
Če komu karkoli ne bi bilo všeč, bi bodisi forkali zadevo bodisi furali paralelno verzijo s filtriranimi updatei in "korektno" izvedenimi security patchi.
Kje je problem ?
Če komu karkoli ne bi bilo všeč, bi bodisi forkali zadevo bodisi furali paralelno verzijo s filtriranimi updatei in "korektno" izvedenimi security patchi.
Kje je problem ?
On the journey of life, I chose the psycho path.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Nova (stara) ranljivost v Linux in OpenBSDOddelek: Novice / Varnost | 3981 (2513) | LightBit |
| » | Še ena ranljivost v Linux jedruOddelek: Novice / Varnost | 4252 (3193) | fiction |
| » | Linus Torvalds: Linux je glomazen (strani: 1 2 )Oddelek: Novice / Ostala programska oprema | 9943 (6028) | yeti |
| » | Tuz ma vas radOddelek: Informacijska varnost | 1801 (1176) | fiction |
| » | Odkrita varnostna luknja v privzeti namestitvi OpenBSDOddelek: Novice / Varnost | 4152 (3087) | poweroff |