» »

Je FBI podtaknil stranska vrata v OpenBSD?

1 2
3
»

Cold1 ::

Ej bi se pa je notri toliko nakladanja, da se mi ne da brati. Samo se to cakam, da se zacne linux vs. windows debata. Ali pa se je ze?

Windows versus Linux flamewari bodo najbržda potihnili tja do sredine tega desetletja ko se bo sesul še Canonical in bo Desktop Linux dokončno prepoznan kot pipedream.
Do takrat bodo plameni najbržda še naprej greli forume. To bi lahko bil alternativni vir energije, kdo ve, morda pa se da s forumskim trolanjem poganjati vozila.:D

poweroff ::

denial je izjavil:

Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Holy shit! Can't believe I hear this from a FOSS guy. :D Kapo dol, Matthai.

Pa saj to jaz že nekaj časa govorim. Med drugim tudi na predavanjih.

Cold1 je izjavil:

Windows versus Linux flamewari bodo najbržda potihnili tja do sredine tega desetletja ko se bo sesul še Canonical in bo Desktop Linux dokončno prepoznan kot pipedream.

Ali pa bo delež Wintendo padel pod 50%... >:D
sudo poweroff

Cold1 ::

Heh, ne verjamem, da bi Apple odstopil od svoje politike in ponudil nakup licence MacOS-a tudi uporabnikom ne-Applove strojne opreme.

"Stranger things have happened", in pa "Never say never".:D

----------
Wintendo™
Star mem, ki izvira iz IBM-ove domnevne namere, da bi IBM PC prodajal kot konkurenco igralnim konzolam; Windows je bil vedno mišljen kot OS za pisarniško, oziroma, resno uporabo; igre tudi MS-u niso bile prioriteta, zgolj priznavali so pomembnost le teh za kupce, pri Applu pa niso, kar jih je drago stalo.

fiction ::

Kaj je lažeje & hitrejše: pregledovati source v C-ju ali v assemblyju ?
Za laičnega opazovalca je lažje pregledovati bolj high level kodo, ker je khm v manjšem kosu zajetih več semantičnih podatkov, ampak kot je rekel denial: zagrizen napadalec bo poskušal poiskati napake tudi če bo moral testirati po principu "črne skatle" in gledati kaj program dela ali pa se prebijati čez strojno kodo in se po možnosti ukvarjati še z raznimi antidebugging triki.

Kar se tiče varnosti je open ali pa closed source pomoje približno enako in upam, da se bo debata o tem kaj je "bolje", kar je vedno zelo subjektivno, čim prej nehala. Če se proizvajalec odloči vgraditi backdoor, ga je pri obeh razmeroma težko najti. Je pa dobro, da je to narejeno tako, da proizvajalec vse skupaj lahko zanika. Npr. kot nek bug, ne kot dodaten skrit administratorski uporabnik, kar lahko proizvajalec težje zagovarja (v poštev pride le, da je to zaradi podpore ali kaj podobnega).

Wright je precej samozavestno zanikal obtožbe, tako da bi pričakoval, da res nima nič z vsem skupaj ali pa, da je prepričan v to, da backdoora sigurno ne bodo našli. Po tem koliko časa je trajalo za odkritje tistega Debian OpenSSL fiaska, ki je bil, kolikor sem seznanjen, povzročen po pomoti, sem precej prepričan, da je kakšna namerna "statistična fora" še veliko težja za odkrit in ima najbrž prav. Poleg tega se tu zelo hitro lahko zanika namernost.

Security audit je ponavadi precej črno/bel: to je exploitable, to ni, tukaj je slab crypto, tukaj ni. Če bo le za del ključa entropija malo slabša in bo npr. vse skupaj mogoče hitro bruteforcati na vladnem superračunalniku, to prej ne bi bilo dovolj senzionalistično in se tudi tista peščica ljudi, ki bi napako mogoče opazila, ne bi ukvarjala s teoretično možnostjo exploitanja. Vse skupaj bi se dalo objaviti mogoče le v akademskih krogih, za širše ljudstvo pa ne bi bilo zanimivo, ker navsezadnje ne bi bil nihče "prizadet". Zdaj bo, če se kaj najde, vsaj kdo špekuliral o tem ali je to povezano z FBI backdoorom. Dokazati se pa vsega skupaj, če na uradu le niso čisto nesposobni, sigurno ne bo dalo.

Zgodovina sprememb…

  • spremenil: fiction ()

Icematxyz ::

Če prav razumem (originalno sporočilo) gre za ranljivost, ki razkrije šifrirni ključ. Ve se tudi kje (začeti) in kaj iskati.

Če pristanemo na to, da se ob morebitni najdbi te ranljivosti ne bo dalo oceniti ali gre za namero ali nenamerno napako, potem morda res bolje, da tukaj ne izgubljamo več časa z razpravo okrog tega.

denial ::

There you have it ;)

Be sure to check the integrity verifier for packets that didn't have it done in hardware: KLIK.

Introduced in 1.63, patched in 1.75 (patch time: 1 year): diff.

Consequences: all ESP authentication succeeded if no crypto hardware found. Not considered security bug therefore no security advisory released.

Sedaj je treba sam še FBI nekako postavit v zgodbo :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

cryptozaver ::

poweroff je izjavil:

Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Holy shit! Can't believe I hear this from a FOSS guy. :D Kapo dol, Matthai.

>Pa saj to jaz že nekaj časa govorim. Med drugim tudi na predavanjih.

Vsaj možnost imajo(mo)

Kot bi rekel, da imamo airbage in jih (skoraj) nikoli ne uporabljamo...

Zgodovina sprememb…

Grumf ::

cryptozaver je izjavil:

Vsaj možnost imajo(mo)

Kot bi rekel, da imamo airbage in jih (skoraj) nikoli ne uporabljamo...


Heh, zaenkrat še nisem imel težav z branjem kode v Windowsih. Mickeno je tecno, ce je
program packan ampak to zahteva samo malo vec znanja. Aja... znanje je torej problem!
Torej, ker ne znamo asemblerja hocemo source in čeprav pa se nam sanja ne o matematiki
vendar bomo ker imamo sourco kodo razumeli kje kriptografski algoritem pusca bit informacije
na 100k podatkov... ne me smejat :D Vse skupaj je ena in isto sranje, open source ali ne
zadeva je iz stališča varnosti enaka. Ves čas jamrate čez varnost Windowov in ne glede na
to se pojavljajo exploiti na netu - verjetno so avtorji imeli dostop do sourcov, mar ne?

Zgodovina sprememb…

  • spremenil: Grumf ()

poweroff ::

cryptozaver je izjavil:

Vsaj možnost imajo(mo)

Kot bi rekel, da imamo airbage in jih (skoraj) nikoli ne uporabljamo...

Saj tega ne zanikam. To, da imamo možnost je zelo pomembno. Ni pa to nobena garancija, da je koda pa zato kar čudežno pregledana.

To je pogosta napaka pristašev open sourca. Ker možnost obstaja predvidevajo, da je bil atudi izkoriščena.

V praksi pa so dokazi, da to ni res.
sudo poweroff

Grumf ::

Cryptozaver... Ena cisto za hec. Bos rekel, da ves kaj naredi tale koda? (in še vec zanimivosti na ioccc.org)

http://www.de.ioccc.org/1998/tomtorfs.c

Zgodovina sprememb…

  • spremenil: Grumf ()

Pyr0Beast ::

Cryptozaver... Ena cisto za hec. Bos rekel, da ves kaj naredi tale koda? (in še vec zanimivosti na ioccc.org)

CRC ASCII Art ?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Brane2 ::

Grumf je izjavil:

Cryptozaver... Ena cisto za hec. Bos rekel, da ves kaj naredi tale koda? (in še vec zanimivosti na ioccc.org)

http://www.de.ioccc.org/1998/tomtorfs.c


1. Pokaži mi EN paket na svoji mašini, ki ga dejanjsko uporabljaš, ki je scompilan iz podobno berljive kode.

2. Tudi taka koda ni bistveno manj berljiva od dissasemblane kode.

3. Za njen prevod v bolj berljivo obliko ne potrebuješ nič bolj sofisticiranih orodij od tistih, ki jihg rabiš za reverse-engineering binary blobov. Prej nasprotno.

4. Imaš kup primerov, kjer sourcea niso sprejeli v repository ker ni ustrezal kozmetičnim zahtevam. En tak banalen primer je recimo Reiser/4.
Maš kak podoben primer za čisti closed-source binary ?

Zagovorniki zaprte kode pravijo, da je njena analiza pravzaprav enako dostopna kot analiza sourcea, ker pač ni načelno nepremagljivih tehničnih težav.

To je tako kot če bi domače stanovanje odklepal in zaklepal z vlomilskim orodjem in pajserjem namesto s ključem in to upravičeval s tem da "ker se pač da, je v bistvu enakovredno ključu". Ne glede na to, kar si misli kdo o cilindričnih vložkih, je to početje trapasto.
On the journey of life, I chose the psycho path.

denial ::

To je tako kot če bi domače stanovanje odklepal in zaklepal z vlomilskim orodjem in pajserjem namesto s ključem in to upravičeval s tem da "ker se pač da, je v bistvu enakovredno ključu". Ne glede na to, kar si misli kdo o cilindričnih vložkih, je to početje trapasto.

Trapasto gor ali dol, dejstvo je da lahko, v primeru ko nimaš ključa, v stanovanje vstopiš tudi z vlomilskim orodjem. Zadeva je precej bolj zajebana in sploh ne elegantna, vendar je končni rezultat popolnoma enak.
SELECT finger FROM hand WHERE id=3;

Brane2 ::

To še ne pomeni, da je varnostni vložek brez vrednosti in da je stanovanje enako varno, če je zaklenjeno ali pa ne, ker vdreti se pač itak da.

Ravno tako nepomembno, če so vrata na prometni točki, ki je pogosto izpostavljena pogledu mimoidočih.

Če greš gledat nasvete strokovnjakov o izbiri materialov in rešitev za zavarovanje prostorov, je ravno pogled javnosti bistven element pri izbiri vrat in vložka.

Bistveno težje je vlamljat na stopnišču kot pa na ograjenem dvorišču, kjer lahko napadaš sistem v miru in zakrit.
On the journey of life, I chose the psycho path.

Grumf ::

Brane2 je izjavil:

...


He he, poglej si malo open source kodo, tako za spremembo. Sicer ne bom ravno rekel, da sem si
ogledal vse open source projekte ampak od precej njih v zadnjih 10 letih bi lahko za primer lepo
spisane c kode dal samo snort. Vse ostalo je pa buh pomagi... ekstremen primer so razni php open
source projekti, te se prav splača pogledat, še vedno mixajo php in html bloke. Odlično.

Verjetno je vse skupaj posledica: "podarjeni kodi se ne išče kariesa" :)

Zgodovina sprememb…

  • spremenil: Grumf ()

denial ::

Ravno tako nepomembno, če so vrata na prometni točki, ki je pogosto izpostavljena pogledu mimoidočih.

Okna so na zelo prometni točki. Vsakdo ki gre mimo bi jih rad razbil da bo le izpadel najjači v vasi :) Res se skozi njih ne vidi v notranjost, vendar po drugi strani... kaj ti bodo odprta okna če si slep.

Bistveno težje je vlamljat na stopnišču kot pa na ograjenem dvorišču, kjer lahko napadaš sistem v miru in zakrit.

Drži. V stopnišču zna biti zajebano, vendar če si lastnik stanovanja in vanj vstopaš s pajserjem te noben sosed ne bo gnavil.

Debata se premika v zidarske vode. Not good...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Brane2 ::

Grumf je izjavil:

Brane2 je izjavil:

...


He he, poglej si malo open source kodo, tako za spremembo. Sicer ne bom ravno rekel, da sem si
ogledal vse open source projekte ampak od precej njih v zadnjih 10 letih bi lahko za primer lepo
spisane c kode dal samo snort.


Res ? Na enem monitorju imam odprt "Professional Linux Kernel Architecture" Wolfganga Maurerja, na drugem pa Linux kernel, ponavadi tazadnjo verzijo gentoo-sources. Ki ji ponavadi sledim brez težav. Tudi delom, ki so pisani v assemblerju.

En bolj zateženih je recimo cdrtools, pa tudi tega štekam. Ravno tako sourci gEDA, pcb-ja itd. Nikjer nisem videl nič podobnega tvojemu linku.

Mentalnih izdrkavanj v PHPju in podobnih zadev pa ne uporabljam.
On the journey of life, I chose the psycho path.

Icematxyz ::

denial je izjavil:

There you have it ;)

Be sure to check the integrity verifier for packets that didn't have it done in hardware: KLIK.

Introduced in 1.63, patched in 1.75 (patch time: 1 year): diff.

Consequences: all ESP authentication succeeded if no crypto hardware found. Not considered security bug therefore no security advisory released.



To je torej eden, kje je pa drugi?

OpenBSD project head Theo de Raadt told iTWire: "We've been auditing since the mail came in! We have already found two bugs in our cryptographic code. We are assessing the impact. We are also assessing the 'archeological' aspects of this.."


Sedaj je treba sam še FBI nekako postavit v zgodbo :D


"Until 2 days ago I had no idea that both Jason and Angelos (Keromytis) in the past did work for a company that does that business," De Raadt said. "And it is true, wow, that company really was in that business! Now they (the company) belong to Verizon.

"We found out that Angelos (our ipsec developer) also did a period of contract work for that company. The mail did say it wasn't just Jason."


Vir

Diff za kakšne druge programske platforme, ki uporabljajo IPsec je že na voljo?

cryptozaver ::

Trudim se, da bi me close source zagovorniki prepričali. Ne vem zakaj me ne.

Strinjam se z vsemi pomisleki a nekako ne vem zakaj bi slepo zaupal nečemu kar je skrito...

Jst ::

info: Microsoft je podjetje, ki ima zaposlenih največ strokovnjakov za varnost. Pa je čas od 0day exploita do popravka vedno daljši.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

MrStein ::

Je komu Okapi že kaj podtaknil? Meni ni. Obljube pa take...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Okapi ::

Mogoče pa samo opazil nisi.>:D

O.

MrStein ::

Ja, pa dedek mraz je bil zraven! :)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

MrStein je izjavil:

Poldi112 je izjavil:


Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno. Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.

V par dneh razčiščeno?
OK, zdaj je že drugi dan, če prav štejem. Se je že kaj razčistilo?

14 dni. Se je kaj razčistilo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

Je. Nič ni bilo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

MrStein ::

Vir?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

Ne vem, verjetno OpenBSD mailing lista. Bral sem Theotov zaključek, nekaj v stilu da je ena firma verjento res poskušala, a jim ni uspelo. In da so spotoma našli par drugih bugov.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

MrStein ::

Verjetno baje nič ni zaenkrat. Ful šur, sto posto, torej? ;)
Ja, upajmo, da res ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

Nič ni 100%, zakaj bi bilo to? Je pa precej verjento in če Theo tako reče mu jaz verjamem. Bolj kredibilno osebo boš, ne glede na OS, težko našel.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

antonija ::

Ne ne, MrSteinu moras verjet razen v skrajnem rpimeru da kdo ne napise knjige z naslovom ki zanika njegovo trditev. Ce je naslov dvoumen to ne steje vec. ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

MrStein ::

antonija je izjavil:

Ne ne, MrSteinu moras verjet

Pozabil si citirati mojo trditev, katero bi naj verjeli.

Vedno pozabijo citat. Le kako to...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

antonija ::

Eni imajo spomin boljsi od zlate ribice in se spomnijo kaj so sami napisali napisali par postov nazaj, drugi pa apc rabijo citate (za to kar so sami napisali). Go figure.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

MrStein ::

Eni znajo podpreti svoje trditve, eni pa mutijo. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

antonija ::

MrStein je izjavil:

Eni znajo podpreti svoje trditve, eni pa mutijo. ;)

Indeed. :\
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

MrStein ::

Se mi je zdelo, da ne bo nič.

Eh, če bi za vsako brezpredmetno obtožbo na forumih dobil cent, bi že bil milijonar.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

antonija ::

Se vedno samo trollas :| bi clovek pricakoval da ti bo na dveh straneh ratalo kej uporabnega napisat. Meh. Najbljs da gres nazaj po svojo skalo in se malo izpilis svoj hobi, potem pa le urno nazaj v clopvestvo in pokazi da si najboljsi troll po mostom!! ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenBSD praznuje 20 let

Oddelek: Novice / Operacijski sistemi
139435 (6662) opeter
»

Izšel OpenBSD 4.9

Oddelek: Novice / Operacijski sistemi
175636 (4543) Poldi112
»

Je FBI podtaknil stranska vrata v OpenBSD? (strani: 1 2 3 )

Oddelek: Novice / Varnost
13533851 (28800) antonija
»

OpenBSD 3.9

Oddelek: Novice / Ostala programska oprema
194067 (2817) nejc_
»

OpenBSD 3.5

Oddelek: Novice / --Nerazporejeno--
92668 (2668) Road Runner

Več podobnih tem