» »

Odkrita resna varnostna pomankljivost v GPG

Odkrita resna varnostna pomankljivost v GPG

Crypto-Gram - V priljubljenem programu za šifriranje elektronske pošte in datotek GPG so pred kratkim odkrili resno varnostno pomankljivost.

Odkrili so namreč, da je mogoče digitalno podpisano elektronsko sporočilo spremeniti in sicer na tak način, da po spremembi digitalni podpis ostane veljaven. Spremembe je mogoče vriniti pred ali pa za originalno (in podpisano) sporočilo. Prizadete so vse različice GPG-ja pred različico 1.4.2.2. Popravki pa so seveda že na voljo.

Kaže, da je bila varnostna pomankljivost prisotna že dlje časa, pa jo do sedaj - kljub odprti kodi - ni še nihče opazil. Kljub temu imajo pri odprti kodi uporabniki vsaj možnost, da napake opazijo, kar za zaprto kodo žal ne moremo trditi...

24 komentarjev

Tear_DR0P ::

luknjo je lahko videl vsak - ni nujno da je ni videl nihče - samo javljena je bila šele sedaj

prav predstavljam si kake "teroriste/kriminalce", ki jim je kakšna ameriška secret service podturila msg ala svinjina je kul al pa koke je zmanjkal :D

sicer o šifriranju nimam pojma, ampak, če si vrinil značilen niz v sporočilo, potem si ga lahko dešifriral, a ne gre to tako?
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

poweroff ::

Digitalno podpisovanje, ne šifriranje je bilo prizadeto.
sudo poweroff

Filo ::

no ampak, če je koda zaprta to pomeni v večini primerov, da je nekdo najbrž lastnik in se nekdo najbrž ubada z to kodo. Seveda je je isto pri odprti kodi...tko da konec koncev je bolje samo to...da na odprti kodi najbrz dela vec ljudi, zdaj če so te ljudje povezani še toliko bolje, če ne je pa isti ps.

fiore ::

ne vem tocnega datuma odkritja te varnostne pomankljivosti, ampak se isti dan ko sem zvedel zanjo nekje na netu, so se mi v Yastu ze pojavli popravki. impresivno.

McMallar ::

Samo pripomba: tudi PGP, ki je plačljiv, ima vso izvorno kodo javno objavljeno.

Bistri007 ::

Kot sem že pisal v prejšnji temi o Ubuntu 5.10 Breezy, lahko, da je kakšna varnostna služba namerno podarila skupnosti OO trojanski konj-tribution :D
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

CWIZO ::


Kaže, da je bila varnostna pomankljivost prisotna že dlje časa, pa jo do sedaj - kljub odprti kodi - ni še nihče opazil.
Kljub temu imajo pri odprti kodi uporabniki vsaj možnost, da napake opazijo, kar za zaprto kodo žal ne moremo trditi...


Vem da je pripis k novici subjektiven pa yada yada. Sam tale komentar je pa totalno irelevanten (drugi del) in ima pol kurca z novico veze.
Nekako kokr da bi jest napisal novico da je Apple lansiral novga iMac-a, pol bi pa v komentar zraven napisal 'Microsoft je pa rabu 3 leta da je novga xboxa ven spravu'.

Mislim zakaj je treba flameware spodbujat?
hancic.info
I can't uninstall it, there seems to be some kind of "Uninstall Shield"...

jype ::

McMallar> Samo pripomba: tudi PGP, ki je plačljiv, ima vso izvorno kodo javno objavljeno.

Seveda, saj tak softver izgubi ves smisel, ce kode ne moremo videti.

Bistri> Kot sem že pisal v prejšnji temi o Ubuntu 5.10 Breezy, lahko, da je kakšna varnostna služba namerno podarila skupnosti OO trojanski konj-tribution.

Zakaj bi pa to naredili? Saj ta bug zanje ne spremeni nicesar. Ce uporabnik vsebino sifrira, varnostna sluzba brez kljuca se vedno ne more do vsebine.

fiore> ne vem tocnega datuma odkritja te varnostne pomankljivosti, ampak se isti dan ko sem zvedel zanjo nekje na netu, so se mi v Yastu ze pojavli popravki. impresivno.

Saj to je tisto, kar free software loci od proprietary software. Ni popoln, je pa precej boljsi.

fiore ::

jype: tocno tako :))

Izi ::

>>ne vem tocnega datuma odkritja te varnostne pomankljivosti, ampak se isti dan ko sem zvedel zanjo nekje na netu, so se mi v Yastu ze pojavli popravki. impresivno

Meni se ne zdi nič impresivnega v tem
Logično se zdi, da se čaka z javno objavo "pomankljivosti" toliko časa, da je na voljo popravek. Nato se oboje javno objavi.
Pri odprti kodi, naj bi to delovalo, saj včinoma isti ljudje, ki najdejo napako le to tudi odpravijo.

Pri zaprti kodi pa to ne deluje, saj ti, če najdeš napake ne moreš nič popravljati, ker nimaš izvorne kode. Tako lahko napako samo javno obaviš in upajoč čakaš, da se bodo ljudje, ki imajo dostop od izvorne kode zganili.

Looooooka ::

Kaže, da je bila varnostna pomankljivost prisotna že dlje časa, pa jo do sedaj - kljub odprti kodi - ni še nihče opazil. Kljub temu imajo pri odprti kodi uporabniki vsaj možnost, da napake odkrijejo in zlorabijo , kar za zaprto kodo žal ne moremo trditi...

OK ?
ja ok

poweroff ::

Ja, poanta je bila v tem: KLJUB odprtikodi napake ni nihče opazil.

Je pa OS vsaj možnost. Ne pa seveda zagotovilo.
sudo poweroff

Izi ::

Dokler "pomankljivosti" nihče ne opazi, le ta sploh ne obstaja.
Logično?
Takih neodkritih pomankljivosti je v vsakem programu kar nekaj, ampak dokler jih nihče ne najde je program "bugfree"

BigWhale ::

Stop making fuss about it! Napaka je sicer tam ampak stvar je sporna samo zaradi podpisovanja sporocil.

Nekdo bi lahko prestregel tvoje sporocilo, ga popravil in ga poslal naprej in bi bilo se vedno avtenticno. Vsaj zgledalo bi tako.

Ce bi bila pa stvar sifrirana, pa tega ne bi mogel nihce razbiti. Vsaj ne s pomocjo tega buga... :)

Smeagol ::

IzI: Dokler "pomankljivosti" nihče ne opazi, le ta sploh ne obstaja.

Kako pa ves kdaj je kdo to opazil? Zate je opazeno takrat, ko je javno objavljeno? Dvomim da nekdo, ki se zeli okoristiti objavi tako stvar na netu. Tu luknja je blia lahko ze dolgo znana hackerjem.

darkolord ::

Heh, to "popravki so že" me spominja na neko luknjo kako leto nazaj... v začetku leta je bilo oboje objavljeno skupaj, češ, kako hitri so...
Edino v source kodi od exploita je pa bil "datum" od prejšnjega leta :P

CaqKa ::

Kljub temu imajo pri odprti kodi uporabniki vsaj možnost, da napake opazijo, kar za zaprto kodo žal ne moremo trditi...


a nismo že zadnjič povedali da iz buga vun ne gleda rdeča puščica z utripajočim napisom 'Here is a bug'?

se pa pridružujem cwizoju.
če se briše flameware, se naj tudi piščeve komentarje ki spodbujajo flamewar.

OwcA ::

Če je koda na voljo, je med njo verjetno tudi kar nekaj testov in tudi dodatne potemtakem ni težko spisati. Kot vsi vsaj malo podkovani v programiranju vemo, iz neuspelega testa pa vsekakor vun gleda rdeča puščica z utripajočim napisom 'Here is a bug'.
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()

Bistri007 ::

če se briše flameware, se naj tudi piščeve komentarje ki spodbujajo flamewar.

Ah, naloga moderatorjev naj bi bila, da poskrbijo, da ostane debata na kulturni ravni in da ne skrene (preveč) s poti. Primerjave - parabole so učinkovito sredstvo izražanja in ne vidim razloga zakaj bi se jim morali izogibati in si namerno manjšati besedni zaklad.

Sicer pa, moderacija debate != cenzura. Argument FLOSS navdušencev je, da se bodo napake zaradi odprtosti kode popravile zelo hitro, saj si lahko izvorno kodo vsak ogleduje. Očitno je, da je šlo v tem primeru nekaj narobe... In prav je, da je pisec novice na to opozoril.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Poldi112 ::

Verjetno misliš nekaj drugega kot pišeš, saj že v sami novici piše da je popravek že na voljo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Bistri007 ::

Verjetno misliš nekaj drugega kot pišeš, saj že v sami novici piše da je popravek že na voljo.

Poudarek je na že 8-)

jype ::

Bistri: kaj je tvoj problem?

Microsoft _nikoli_ ne popravi buga, dokler ga nekdo ne najde in sporoci _Microsoftu_.

V FOSS se pa bug popravi takoj, ko se najde prvi tip, ki zna bug popravit in se mu to da.

Ja, slisi se grozno, da si odvisen od enih ljudi, ampak za zdaj FOSS vodi inf:0 proti closed source softveru.

darkolord ::

Če ga oni najdejo, ga popravijo. In stvar tudi testirajo, česar se pa tukaj, več kot očitno, ne dela.

jype ::

darkolord> Če ga oni najdejo, ga popravijo. In stvar tudi testirajo, česar se pa tukaj, več kot očitno, ne dela.

Takoj lahko najdem primer, ko Microsoft ni nicesar testiral in seveda vrsto primerov, ko se v FOSS softver rigorozno testira.

Tudi jaz, ce najdem bug v svoji kodi, seveda zadevo popravim. Bistvo je, da jaz ne morem popravit buga v Microsoftovi kodi, lahko pa popravim bug v kodi FOSS.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnosti

Oddelek: Novice / Varnost
107164 (5698) MrStein
»

VPN server ?

Oddelek: Pomoč in nasveti
262204 (1782) NeMeTko
»

gpg

Oddelek: Programska oprema
121793 (1628) poweroff
»

Odkrita resna varnostna pomankljivost v GPG

Oddelek: Novice / Varnost
243733 (2989) jype
»

Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?

Oddelek: Novice / Kiberpipa
475371 (4109) M.B.

Več podobnih tem