» »

Je FBI podtaknil stranska vrata v OpenBSD?

1
2
3

Mavrik ::

Vseeno si upam trditi, da je še zmeraj varnejša od close-source. Največja prednost odprte kode se pa IMHO izkaže pri podjetjih ali ustanovah, ki dejansko morajo poskrbeti za veliko stopnjo varnosti svojih sistemov in tudi imajo zaposlene strokovnjake za to. Oni pa dejansko ne rabijo razvijati programske opreme iz nule, ampak lahko vzamejo open-source rešitev, jo prečekirajo po dolgem in počez, po potrebi kaj popravijo in potem uporabljajo.


Vsi empirični dokazi do danes kažejo da to, kar ti trdiš, ni res.
The truth is rarely pure and never simple.

Poldi112 ::

Kakšni empirični dokazi? Največ exploitov imajo Windowsi, veliko se piše o pomankljivostih zaprtokodnih volilnih naprav, praktično vsi kredibilni enkripcijski standardi so odprtokodni, ...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Bor H ::

Enkripcijski standard ima nekaj redov velikosti manj vrstic kot OS. Volilne naprave so pa politika.

Poldi112 ::

Kaj ima št. vrstic veze s tem, da te noben kriptograf ne bo resno jemal, če boš zagovarjal security through security? In kaj ima veze politika pri tem, da se zaprta koda ni obnesla. Saj mene ne zanima, zakaj je zaprtokodno ali zanič, moje opažanje je, da se zaprtokodnost tu niti slučajno ni obnesla.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Bor H ::

Število vrstic kode ima direkten vpliv. Če ima program 100 vrstic, ga bo preveril vsak, ki bo želel preveriti njegovo varnost in boš težko notri nek backdoor vpletel. Če imaš ti nekaj milijonov vrstic pa verjamem da nihče nima celotnega pregleda čez to.

btw, se je kaka odprtokodna rešitev obnesla za volilne naprave?

Poldi112 ::

O stvareh ki delujejo dobro navadno ne beremo. A si že kdaj videl novico tipa: Letalo družbe lufthansa na rednem poletu na liniji Frankfurt - New York ni imelo težav.

Plus da mene sploh ne zanima, kako težko je kje zagotavljati varnost. Mavrik je podal trditev, da EMPIRIČNI DOKAZI pravijo, da open source ni bolj varen od closed sourca in ti se trudiš to zagovarjati s tem, da skušaš opravičevati oz. minimalizirati moje primere. EMPIRIČNI dokazi! Zakaj to poudarjam? Ker je smešno, da niti enega primera nista uspela podati. Zdaj ali jaz ne vem kaj pomeni empirično, ali pa nekaj hudo ne štima.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Bor H ::

Nisem zagovarjal da je closed source bolj varen kot open source. Moja trditev je "isti k. a je odprto al zaprto v obeh primerih imaš lahko backdoor"

Poldi112 ::

To je itak jasno da imaš lahko v obeh primerih backdoor. Vprašanje je, kaj je bolj varno oz. kje je verjetnost za kaj takega večja.

Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno. Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Brane2 ::

Meni osebno je zadeva všeč.

Seveda bi najraje OS brez takih stvari, a ko smo že pri tem, bi najraje pritiskal Angelino Jolie brez tistega kupa otrok a bodimo realni.

Glede na naravo zadeve je povsem normalno in pričakovano, da se je kakšna služba poskusila "problema" lotiti tudi na tak način.

De Raadt je tudi tu, pokazal pravi "I have a balls" pristop. Transparentno, direktno, brez ovinkarjenja.

Če izbiram med realnimim variantami, potem imam daleč najraje tole.
On the journey of life, I chose the psycho path.

Okapi ::

Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.
Po drugi strani pa lahko razne CIE ali kdorkoli pač hoče backdoor precej lažje podtaknejo v odprto kodo. Teoretično gledano je zaprtokodni program varnejši.

O.

Zgodovina sprememb…

  • spremenil: Okapi ()

antonija ::

Glede na vsebine depes (in s tem vlogo politike v gospodarstvu) je kot kaze dovolj en telefonski klic in tvoj najbolj priljubljen closed source software dobi toliko lukenj da se lahko soncis skozi njih. Pri open source jih sicer lahko submittajo po zelji, ampak tam vsaj obstaja verjetnost da to kdo opazi in odstrani. Pri closed source je pa tisti telefonski klic zadevo zapecatil.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Okapi ::

Recimo, da sam narediš en tak program, za katerega si prepričan, da je popolnoma varen. Bi ga objavil kot GPL, da lahko vsak šari po njem, ali bi se raje odločil za zaprto različico? Katera odločitev bi bila z varnostnega stališča boljša?

O.

Brane2 ::

Objavil bi ga.

Ko govoriš o varnostnem stališču, moraš specificirati o ČIGAVEM staliću govoriš.

Svojem ( avtorja programa ), stališču edinega uporabnika programa, stališću poljubnega uporabnika programa ali nekem povsem drugem stališču...
On the journey of life, I chose the psycho path.

PaX_MaN ::

Se mi zdi, da je že zdaj - če gledaš uradne strani - večina "odprte" kode nekje 50:50.
Kodo lahko gleda kdorkoli (odprto), not pa pride le kar se pregleda (zaprto).

Brane2 ::

Tega ne štekam.

Kaj hočeš reč s tem "not" ?

Kam "not" - v repository ?
On the journey of life, I chose the psycho path.

Poldi112 ::

Okapi je izjavil:

Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.
Po drugi strani pa lahko razne CIE ali kdorkoli pač hoče backdoor precej lažje podtaknejo v odprto kodo. Teoretično gledano je zaprtokodni program varnejši.

O.


Ne vem po kateri teoriji? Zakaj že bi bilo težko podtaknit backdoor v Windowse, sploh če veš da NSA veselo sodeluje tudi tam. Če sploh rabijo kaj podtikati, če ni dovolj da samo prosijo, da ne rečem zahtevajo, v imenu domovinske varnosti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Okapi ::

Ko govoriš o varnostnem stališču, moraš specificirati o ČIGAVEM staliću govoriš.
Absolutno gledano. Kateri program bi bil varnejši. Pri tem zanemarimo, da bi ti morali pač drugi zaupati, da je program res varen.

Zakaj že bi bilo težko podtaknit backdoor v Windowse, sploh če veš da NSA veselo sodeluje tudi tam.
Ne vem, zakaj sedaj notri mešaš Windowse? Predstavljaj si, da Al Kajda naredi program za varno komunikacijo med svojimi celicami. Kaj je zanjo bolj varno - da ostane koda programa zaprta, ali da jo odprejo?

O.

Brane2 ::

Okapi je izjavil:

Absolutno gledano. Kateri program bi bil varnejši. Pri tem zanemarimo, da bi ti morali pač drugi zaupati, da je program res varen.


Saj ravno to je. Apsolutne perspektive ni.



Predstavljaj si, da Al Kajda naredi program za varno komunikacijo med svojimi celicami. Kaj je zanjo bolj varno - da ostane koda programa zaprta, ali da jo odprejo?


IMHO da jo odprejo.
On the journey of life, I chose the psycho path.

Brane2 ::

Okapi je izjavil:

Ko govoriš o varnostnem stališču, moraš specificirati o ČIGAVEM staliću govoriš.
Absolutno gledano. Kateri program bi bil varnejši. Pri tem zanemarimo, da bi ti morali pač drugi zaupati, da je program res varen.



Tole sem pozabil. Mi lahko demonstriraš, kako lahko ta faktor zanemariš ? Saj ta je v tem primeru glavni vir nevarnosti !

To je tako kot bi reku, da je Jugo izredno varen avto, če zanemarimo vse situacije, v katerih bi lahko prišel v nevarnost. :|
On the journey of life, I chose the psycho path.

denial ::

Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno.

Jap, ko se nekdo po desetih letih skesa in "leaka" informacijo. Seveda pod predpostavko, da BD sploh obstaja.

Zaprtost kode nikdar ni preprečevala da ne bi Windowse razstavili na prafaktorje (beri: reverse engineering). V bistvu je to priljubljena športna panoga. Koliko časa lahko torej ostane potencialni BD neopažen?

De Raadt je tudi tu, pokazal pravi "I have a balls" pristop. Transparentno, direktno, brez ovinkarjenja.

+1.
SELECT finger FROM hand WHERE id=3;

antonija ::

Recimo, da sam narediš en tak program, za katerega si prepričan, da je popolnoma varen. Bi ga objavil kot GPL, da lahko vsak šari po njem, ali bi se raje odločil za zaprto različico? Katera odločitev bi bila z varnostnega stališča boljša?

Recimo da razumem zadevo takole:
Ti naredis en program ki ga potem uporablja recimo pol sveta (pac ogromna populacija, tolk velika da je tvoj SW dobra tarca za iskat buge in jih exploitat). Potem das pa na voljo dve opciji:
1. Ti kodo zapres in vsi uporabniki se zanasajo na to, da si ti (in samo ti!!) kodo pregledal in da je to zagotovilo (!!) da je koda varna. Pregled enega cloveka (ki je hkrati tudi avtor) in to je to. Pa skrita koda da noben ne more nalahko ugotovit ce si podtaknil se kaksno grdobijo zdraven.
2. Kodo odpres in ce jo uporablja dovolj velika populacija se bojo zaceli pisat dodatki, nadgradnje, kar za sabo avtomatsko potegne pregled vsaj dela kode. Plus se kaksen geek ki mu je veselje prebirat kodo. To je pregled kode veliko vec kot enega cloveka.

Ne vem no... tud ce dobim SW od Chucka Norrisa bi vseeno rajs ce se kdo drug pogleda kodo. Second opinion bi se reklo.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Poldi112 ::

denial je izjavil:

Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno.

Jap, ko se nekdo po desetih letih skesa in "leaka" informacijo. Seveda pod predpostavko, da BD sploh obstaja.

Zaprtost kode nikdar ni preprečevala da ne bi Windowse razstavili na prafaktorje (beri: reverse engineering). V bistvu je to priljubljena športna panoga. Koliko časa lahko torej ostane potencialni BD neopažen?


Zaprtost res ne preprečuje, vseeno pa menda ne trdiš, da je zaradi tega lažje najti backdoor? Ker če sprašuješ za zaprtokodno aplikacijo, koliko časa lahko BD ostane neopažen, koliko časa po tvojem lahko ostane pri odprti kodi?

In glede 10 let, ja, tu je pač 10 let. Ampak to je irelevantno. 10 let je lahko pri BSD ali pri Win. Dejstvo ostaja, da pri BSD lahko preveriš, pri WIN pa bi bilo to precej težje.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Brane2 ::

denial je izjavil:


Zaprtost kode nikdar ni preprečevala da ne bi Windowse razstavili na prafaktorje (beri: reverse engineering). V bistvu je to priljubljena športna panoga. Koliko časa lahko torej ostane potencialni BD neopažen?



Dejva probat na praktičnem primeru. Vzemiva kak enostavnejši open-surce program. Kak ftp ali http server recimo.

Oba se postaviva tako v vologo stranke kot dobavitelja. Recimo lighttp ( mali http strežnik). Oba snevima isti source, nato pa:

- ga bom jaz scompilal in ponudil tebi kot closed source
- ga boš ti scompilal in ponudil meni kot open source.

Kdo lažje implementira backdoor, ki ga stranka ne bo enostavno zaznala ?

Jaz ti lahko v zaprto kodo porinem karkoli. Ja, trivialen primer boš mogoče zaznal, za karkoli izven tega bi te pa res rad videl.

Po drugi strani pa imam jaz na vpogled source. Tudi če ne vidim luknje neposredno, se mi lahko sanja, kje bi bilo fajn iskat...
On the journey of life, I chose the psycho path.

Mavrik ::

Kdo lažje implementira backdoor, ki ga stranka ne bo enostavno zaznala ?


Popolnoma enako težko je, saj je trivialne backdoore lahko identificirati, za zapletenejše pa je analiza kode tudi česa tako trivialnega kot je HTTP strežnik predraga (saj navsezadnje si rešitev plačal ker NIMAŠ časa svoje spisat a ne? pregledovanje tuje kode dovolj podrobno, da se lahko najde backdoor, traja skoraj enako časa kot razvoj le-te).

Primeri kot je ta novica pač dokazujejo da je varnost odprtokodnih programov zaradi "odprtosti" eno tako nakladanje brez podlage, ker tistega noben ne bere.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

Brane2 ::

Mavrik je izjavil:

Kdo lažje implementira backdoor, ki ga stranka ne bo enostavno zaznala ?


Popolnoma enako težko je, saj je trivialne backdoore lahko identificirati, za zapletenejše pa je analiza kode tudi česa tako trivialnega kot je HTTP strežnik predraga (saj navsezadnje si rešitev plačal ker NIMAŠ časa svoje spisat a ne? pregledovanje tuje kode dovolj podrobno, da se lahko najde backdoor, traja skoraj enako časa kot razvoj le-te).



Dejva probat.
On the journey of life, I chose the psycho path.

antonija ::

Ob nekaj predpostavkah (ki drzijo ali pa tudi ne) da nimas casa pegledovat kode (zakaj pol rabis kodo), da to traja predolgo (verjetno lahko tud narocis pregled kode pri komu ce ti je varnost tolk pomembna; varnost pac stane, cas pa tudi) imas mogoce prav. Ce. >:D

Primeri kot je ta novica pač dokazujejo da je varnost odprtokodnih programov zaradi "odprtosti" eno tako nakladanje brez podlage, ker tistega noben ne bere.

To je tolazba za win fanboye da lazje spijo. "Prednost" odprtosti je moznost da lahko kodo vsakdo pogleda (poleg drugih prednosti). To ne pomeni neke uber-no-bug-whatsoever funkcije implementirane v odprto kodo, ampak samo moznost, da ce ti je kaksen aspekt kode res zelo pomemben (varnost, brzina, karkoli) imas moznost sam pogledat kaksna je situacija in zadeve dodelat po lastnih zeljah.
Pri zaprti kodi pa te moznosti nimas sploh, oz. jo v nekaterih primerih lahko dobis ce je proizvajalec dobre volje in ti jo ponudi pod NDAjem, ampak to ti ne garantira da bo za naslednji update isto...

Ce kdo to moznost pregleda izkoristi, super. Vazno je da moznost obstaja. Rect da je pa zarad tega odprta koda po defaultu bolj je pa glupost.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

denial ::

Jaz ti lahko v zaprto kodo porinem karkoli. Ja, trivialen primer boš mogoče zaznal, za karkoli izven tega bi te pa res rad videl.

Itak, ker nisem iz te kategorije. Winse so na prafaktorje razstavili težko-kategorniki. Mimogrede, ni mi težko priznati, da so bili BD-ji v OSS aplikacijah odkriti v nekaj dneh, kar za closed source ne velja. And that's the fact.

Po drugi strani pa imam jaz na vpogled source. Tudi če ne vidim luknje neposredno, se mi lahko sanja, kje bi bilo fajn iskat...

Kar ne pomeni, da boš tudi kaj našel dokler ti nekdo s prstom ne pokaže.
SELECT finger FROM hand WHERE id=3;

Okapi ::

Second opinion bi se reklo.
Ja, to je plus, seveda, ampak minus pa je, da lahko sedaj praktično vsak šari po kodi in ti v program podtakne karkoli.

O.

Brane2 ::

denial je izjavil:


Kar ne pomeni, da boš tudi kaj našel dokler ti nekdo s prstom ne pokaže.



1. Tu govorimo o verjetnostih, ne o gotovosti enega ali drugega razpleta.

2. kateri scenarij je ranljivejši po tvoje. Če me želiš v varianti odprte kode zaj*, potrebuješ tako razliko v znan ju, da bom zate kot majhen otrok.
Pravzaprav, ne samo jaz ampak vsi, ki bi se odločili vpogledat v kodo. Če me želiš zaj* v varianti zaprte kode, potrebuješ osnovno znanje jezika in ponavadi en pogojni stavek tipa "if( passwd == "tralala" ) then fuck_him_up

3. Ko je napad enkrat odkrit, kakšna je škoda, ki jo utrpi napadalec v obeh scenarijih ? Pri odprti kodi je napadalec "foro že prodal" in ima kakršenkoli podoben napad veliko verjetnost zaznave. Pri zaprti kodi lahko isto foro veliko lažje reusaš.

Saj ta primer ni edini. Pred časom so v linux kernelu odkrili sofisticiran poskus vstavitve "programerske napake" v kodo. Če bi bil kernel colosed source, bi bilo to otroška igra...

Okapi je izjavil:

Second opinion bi se reklo.
Ja, to je plus, seveda, ampak minus pa je, da lahko sedaj praktično vsak šari po kodi in ti v program podtakne karkoli.

O.



Res ? Probaj. Evo, vtakni mi karkoli v lighttpd.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

qwzyx ::

Brane2 ::

Že znano. Odkrito po nekaj dneh.

Sem hotel ravno ProFTPD dati kot primer, pa ga nisem, ker sem lighttpd source že nekaj gledal...
On the journey of life, I chose the psycho path.

Icematxyz ::

Kdor se na podlagi argumentov odloči o zaprto/odprto kodni rešitvi za neko varnostno pomembno področje, verjetno tudi v takšnih trenutnih pričakuje, da bo "varnostni model", ki ga je izbral, pokazal svoje prednosti/slabosti.

To torej ni nič novega le varnostni model je na "testiranju". Se pravi, "obtoženi" soudeleženi v zadevi, zaenkrat vse skupaj zanikajo. Ker gre za zelo specifično področje in so avtorji kode znani, ne bi smelo biti nekih težav ugotoviti, ali jim je tudi v praksi uspelo?

Težje bo pa morda razčistiti ali je pobuda s strani FBI prišla ali ne?

WikiLeaks? ;)

Poldi112 ::

ProFTPD ni ravno posrečen primer, ker tam niso spravili kode backdoor-a mimo maintainerja, ampak so hacknili webserver in zamenjali binary.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Icematxyz ::

Nisem spremljal natančno zadeva ampak tako bi naj bilo nekako da. Podtaknili so okužen paket na strežnik, v katerega so "vdrli".

MrStein ::

Poldi112 je izjavil:


Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno. Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.

V par dneh razčiščeno?
OK, zdaj je že drugi dan, če prav štejem. Se je že kaj razčistilo?

Okapi je izjavil:

Second opinion bi se reklo.
Ja, to je plus, seveda, ampak minus pa je, da lahko sedaj praktično vsak šari po kodi in ti v program podtakne karkoli.

Firefox je open source. Laufam ga zdajle.
Daj mi nekaj podtakni not.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Poldi112 ::

A smo picajzlasti? Evo ti iz sskj, 2. definicija:

# pár prisl. (á) pog. izraža nedoločeno manjše število; nekaj, nekoliko: spregovoriti par besed; za par ur se je odpeljal; pred par dnevi je bil še doma; narisati obraz s par potezami ?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

MrStein ::

Ti si picajzlast ;)

Nisem rekel, da bi moralo danes že biti razčiščeno.
Bom jutri spet vprašal. In dan za tem...

PS: Zgleda, da ti je nekak črke zmaličilo.

Glede sloveščine: Večkrat sem slišal, da "par" pomeni dvojico oz. dva in da ni spomenka za "nekoliko" ... No ja, učimo se vsak dan, kajne?

Poldi112 je izjavil:

ProFTPD ni ravno posrečen primer, ker tam niso spravili kode backdoor-a mimo maintainerja, ampak so hacknili webserver in zamenjali binary.

Kar bi lahko enako s closed source programom naredili.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

amigo_no1 ::

denial je izjavil:

Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno.

Jap, ko se nekdo po desetih letih skesa in "leaka" informacijo. Seveda pod predpostavko, da BD sploh obstaja.

Zaprtost kode nikdar ni preprečevala da ne bi Windowse razstavili na prafaktorje (beri: reverse engineering). V bistvu je to priljubljena športna panoga. Koliko časa lahko torej ostane potencialni BD neopažen?

De Raadt je tudi tu, pokazal pravi "I have a balls" pristop. Transparentno, direktno, brez ovinkarjenja.

+1.

Tudi windows 2k koda je šla na splet.

Kaj je lažeje & hitrejše: pregledovati source v C-ju ali v assemblyju ?

brodul ::

Probite najti HW backdoore oz. čudne stvari. :D
Pretending to be a mature adult is so exhausting.

Grumf ::

Ojla fracki, umirite se malo...

Prvic, ce se ne bi zanasali samo na slotechovo bullshitiranje in bi prebrali originalni
email in nadaljevanje threada bi ugotovili, da se je edina osebno imenovana oseba, ki naj
bi kobajagi bila na FBIjevi paylisti (Jason L. Wright) kasneje oglasila:


I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.


Ce ima openbsd backdoor (in preprican sem, da se vecini tule sploh ne
sanja o cem je govora - ne gre za backdoore tipa "gremo na najbolj lame
nacin skriti dodaten username in password v kodo", ampak za dejansko
matematicno podtaknjene napake v algoritem, za katere moras prisluskovati
povezavi in ce ves kaj isces ti jo bo scasoma ratalo dekodirati. To ni
nekaj kar bi lahko nasel vsak novopeceni 1337 C# developer, sem pa skoraj
preprican, da ce se je nekaj takega znaslo v openbsdju, potem se je tudi
v vseh ostalih OSih in opensslju.

Glede varnosti open/close sourcov debate pa sploh ne bi govoril. Zagovorniki
open sourca pac najdejo najbolj obskurne teme zato, da propagirajo svoje
male nocne perverzije... o cemer sem pa tako ali tako ze enkrat pisal pa se
mi ne da vec.

Brane2 ::

Točno, ampak tudi ti deli kode niso nevidni znalcem.

In kot že rečeno, če hočeš dati skozi kaj na tak način, moraš biti tako naprej glede na preostanek folka, da jih lahko vrtioš ko male otroke.

Pri closed sourceu ti tega ni treba- stvar je otročje enostavna.
On the journey of life, I chose the psycho path.

Poldi112 ::

>Kar bi lahko enako s closed source programom naredili.

Ja, ampak tak tip napada pač ni neka nevarnost. Takoj ko ugotoviš vdor na stran pač preveriš, kaj so še naredili. V tem primeru je trajalo par dni. Zato pravim da primer ni posrečen.

Ker za razliko od closed source-a, kot pravi Brane, kjer pa ti ne moreš kar enostavno skriti backdoor-a v kodo, kot si nekateri tu napačno predstavljajo. Tam se ti dogaja to, kar lahko te dni beremo v novicah o HP-ju.Koliko je zadeva namerna in koliko posledica pomote, da niso pobrisali ostankov dev pripomočkov, je irelevantno. Tako stvar v open source dosti težje izvedeš.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

poweroff ::

Bor H je izjavil:

btw, se je kaka odprtokodna rešitev obnesla za volilne naprave?

Ja, v Avstraliji.
https://slo-tech.com/novice/t136271

Zadava se je obnesla: http://www.wired.com/techbiz/media/news...
sudo poweroff

poweroff ::

Okapi je izjavil:

Po drugi strani pa lahko razne CIE ali kdorkoli pač hoče backdoor precej lažje podtaknejo v odprto kodo. Teoretično gledano je zaprtokodni program varnejši.

Zakaj lažje? Saj pri odprtokodnih razvijalcih ne pogleda samo en kode. Gleda jo več oseb. Ravno tako morajo kodo spraviti skozi kot pri komercialnih produktih. Po moje je čisto isto.

Okapi je izjavil:

Pri tem zanemarimo, da bi ti morali pač drugi zaupati, da je program res varen.

Heh, ravno to je ključno. Zaupanje.

Okapi je izjavil:

Predstavljaj si, da Al Kajda naredi program za varno komunikacijo med svojimi celicami. Kaj je zanjo bolj varno - da ostane koda programa zaprta, ali da jo odprejo?

Da jo odprejo in rečejo - evo, kdor najde napako tlele mu damo 50k USD. Vsekakor je bolj varen sistem, ki je transparenten, pa ni odkrita varnostna ranljivost v njem, kot sistem, ki je skrit in zaradi tega (domnevno) varen.

Pa da se razumemo. Poiskat ranljivosti v zaprti, binarni kodi, res ni velik problem Fuzzing, itd. Ampak to ne pomeni, da je iskat ranljivosti v odprti kodi kaj težje. Jo pač lahko prevedeš in potem nad binarno kodo izvajaš nasilje - hkrati pa lahko izvajaš nasilje še nad odprto kodo.
sudo poweroff

poweroff ::

Grumf je izjavil:

in bi prebrali originalni email in nadaljevanje threada bi ugotovili, da se je edina osebno imenovana oseba, ki naj
bi kobajagi bila na FBIjevi paylisti (Jason L. Wright) kasneje oglasila:

Aja, pol je ta, ki naj bi to naredil to zanikal?

A, pol je pa vse v redu, če je zanikal. Pol pa ni res. No, zdaj sem pomirjen.

:))

Grumf je izjavil:

Glede varnosti open/close sourcov debate pa sploh ne bi govoril. Zagovorniki
open sourca pac najdejo najbolj obskurne teme zato, da propagirajo svoje
male nocne perverzije...

Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Kar se tiče tega buga - po mojem gre za tipičen crypto-matematičen "backdoor". Recimo nekaj v stilu faulty RNG-ja, ali kaj takega (pa ne govorim o Debilianu).

Aja, pa ko smo že pri tem, si le preberite tole: https://slo-tech.com/novice/t294554

Pol pa trolajte dalje...
sudo poweroff

denial ::

Prvic, ce se ne bi zanasali samo na slotechovo bullshitiranje in bi prebrali originalni email in nadaljevanje threada bi ugotovili, da se je edina osebno imenovana oseba, ki naj bi kobajagi bila na FBIjevi paylisti (Jason L. Wright) kasneje oglasila

Smo že ugotovili. Hvala. Enako bi lahko ugotovil tudi ti če bi se mal sprehodil skoz poste v tem threadu...

Tudi windows 2k koda je šla na splet.
Tako približno 15% kode je baje leakalo. Kolikor je meni znano je bila s pregledovanjem kode odkrita ena sama ranljivost. Najmanj milijon ostalih so odkrili z RCE in fuzzingom.

Kaj je lažeje & hitrejše: pregledovati source v C-ju ali v assemblyju ?
Kakšne veze ima sedaj to? Če se nekdo odloči da bo raztavil Okna zaradi izziva, slave ali denarja jih pač bo pa najsi bo v zbirniku, c-ju ali klinopisu.


Ja, ampak tak tip napada pač ni neka nevarnost. Takoj ko ugotoviš vdor na stran pač preveriš, kaj so še naredili. V tem primeru je trajalo par dni. Zato pravim da primer ni posrečen.

Čist enako bi bilo tudi pri closed source. Vdor na strežnik + menjava binarija. Ko se vdor odkrije se preveri hashe in to je to. Pri FOSS je tovrsten pristop pogosta praksa, saj je otročje lahko spremeniti nekaj vrstic kode (zadnji primer: KLIK). Res je tudi, da so tovrstni posegi po pravilu hitro odkriti.

To nima veze z BD-ji ki so namensko implementirani s strani razvijalca samega.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Grumf ::

denial je izjavil:

Smo že ugotovili. Hvala. Enako bi lahko ugotovil tudi ti če bi se mal sprehodil skoz poste v tem threadu...


Ej bi se pa je notri toliko nakladanja, da se mi ne da brati. Samo se to cakam, da se zacne linux vs. windows debata. Ali pa se je ze?

denial ::

Ej bi se pa je notri toliko nakladanja, da se mi ne da brati. Samo se to cakam, da se zacne linux vs. windows debata. Ali pa se je ze?

Hehe, nekje med novicami sem zasledil IE vs FF. Kul alternativa za linux vs win.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Holy shit! Can't believe I hear this from a FOSS guy. :D Kapo dol, Matthai.
SELECT finger FROM hand WHERE id=3;

MrStein ::

poweroff je izjavil:


Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Hej!!!
Pa ti se res strinjaš z mano.
A takrat, ko pišeš nasprotno, je oni tvoj "happy time"?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenBSD praznuje 20 let

Oddelek: Novice / Operacijski sistemi
138789 (6016) opeter
»

Izšel OpenBSD 4.9

Oddelek: Novice / Operacijski sistemi
175304 (4211) Poldi112
»

Je FBI podtaknil stranska vrata v OpenBSD? (strani: 1 2 3 )

Oddelek: Novice / Varnost
13531784 (26733) antonija
»

OpenBSD 3.9

Oddelek: Novice / Ostala programska oprema
193909 (2659) nejc_
»

OpenBSD 3.5

Oddelek: Novice / --Nerazporejeno--
92506 (2506) Road Runner

Več podobnih tem