» »

NSA in Microsoft prestrezala komunikacijo pred šifriranjem

1 2
3
»

gslo ::

my point being: tudi če ima TC backdoor, zaenkrat verjetno še ni bojazni, da bi ga posedovala tudi trenutna oblast. sicer bi NSA pač kak lockpicking service za ostale tričrkovne agencije izvajal kot popoldansko dejavnost, ne pa da vsi ostanejo dolgih nosov, ko ne dobijo passworda. :-P

trizob ::

Eno je javni pregon oz. javno sojenje, drugo so dejavnosti obveščevalnih in drugih tajnih služb.

Dostopnost izvorne kode, če je ne pregleda kompetentna in zaupanja vredna osebe ter jo sam prevajaš, nima nobene dodane vrednosti z vidika varnosti.

xxx ::

ABX je izjavil:

TrueCrypt sem omenil ker je znan/popularen, to je edini razlog. Čeprav čudno da se ni noben obesil na dejstvo da ni open-soruce ampak source-available.

Še enkrat ABXu, mi lahko dokažeš, da je TrueCrypt varen zato ker je open source, verjetno na nivoju izjave, da so Windowsi varni ravno zato ker so closed source. Pa mi dokazi vsaj, da med sourcom in binaryem ni bil tampered (od libc manipulacij naprej, lahko je bil popatchan že na koncu kot "closed source" binary). Skompajlat pa ga tako ali tako ne znaš, si tak mali trolček, ki ponavlja kot papiga nekaj kar je nekje slišal in se počuti zaradi tega strašno cool. Kaj pa piše v zadnji Lady?
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

technolog ::

Definitivno se strokovnaki strinjajo, da je t.i. "security through obscurity", torej varnost s skrivanjem slaba, majoča se varnost.

Torej je argument, da je zaprta koda bolj varna zelo majav.

xxx ::

technolog je izjavil:

Torej je argument, da je zaprta koda bolj varna zelo majav.

Saj nihče ne pravi da je bolj varna, enako sranje je, nepomembno za to debato, berači spet uzurpirajo debato za svoje reklamne namene...
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

xxx ::

trizob je izjavil:

Dostopnost izvorne kode, če je ne pregleda kompetentna in zaupanja vredna osebe ter jo sam prevajaš, nima nobene dodane vrednosti z vidika varnosti.

Natančno tako.
Pa pa...

ABX ::

Pa valda da to razume vsak ki ima pozitiven IQ?

Če govorim o open soruce kot varna alternativa potem privzamem dejstvo da je kodo preverilo veliko profesionalcev.
Vaša inštalacija je uspešno spodletela!

xxx ::

ABX je izjavil:

Če govorim o open soruce kot varna alternativa potem privzamem dejstvo da je kodo preverilo veliko profesionalcev.

Tudi Microsoftovo kodo je preverilo veliko profesionalcev. Ergo, alternativa je enako varna.
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

ABX ::

xxx je izjavil:

ABX je izjavil:

TrueCrypt sem omenil ker je znan/popularen, to je edini razlog. Čeprav čudno da se ni noben obesil na dejstvo da ni open-soruce ampak source-available.

Še enkrat ABXu, mi lahko dokažeš, da je TrueCrypt varen zato ker je open source, verjetno na nivoju izjave, da so Windowsi varni ravno zato ker so closed source. Pa mi dokazi vsaj, da med sourcom in binaryem ni bil tampered (od libc manipulacij naprej, lahko je bil popatchan že na koncu kot "closed source" binary). Skompajlat pa ga tako ali tako ne znaš, si tak mali trolček, ki ponavlja kot papiga nekaj kar je nekje slišal in se počuti zaradi tega strašno cool. Kaj pa piše v zadnji Lady?



True Crypt je varen ker ko pogledaš kodo vidiš da notri ni nobenega sranja za odklepat datoteke razen ključev ki si ti generiral. Pri zaprti kodi nimaš te garancije. Oz. kar v štartu veš (Skype) da ključe sploh nimaš ti ampak nekdo drugi, sicer to ni problem zaprte kode ampak neumnega folka ki misli da če je zadeva kriptirana je že avtomatsko varna.

xxx je izjavil:

ABX je izjavil:

Če govorim o open soruce kot varna alternativa potem privzamem dejstvo da je kodo preverilo veliko profesionalcev.

Tudi Microsoftovo kodo je preverilo veliko profesionalcev. Ergo, alternativa je enako varna.


Tu pa nastane problem, vsi ti profesionalci so plačani od Microsofta in ne morejo izvaja prostega govora (kritizirat določene poteze).
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

xxx ::

ABX je izjavil:

True Crypt je varen ker ko pogledaš kodo vidiš da notri ni nobenega sranja za odklepat datoteke razen ključev ki si ti generiral.

Še tistega trovrstičnega primera, ki sem ti ga dal ne razumeš, boš pa razumel, da je algoritem rahlo narobe spisan, da leaka bite, ja sigurno.

ABX je izjavil:

Pri zaprti kodi nimaš te garancije.

Enako garancijo imaš. Dve leti je debian trdil kako je varen z invalidnim random generatorjem in verjetno so tebi podobni enako zatrjevali kako je pa debian varen.
Pa pa...

ABX ::

Se mi ne da več.
Vaša inštalacija je uspešno spodletela!

xxx ::

ABX je izjavil:

Tu pa nastane problem, vsi ti profesionalci so plačani od Microsofta in ne morejo izvaja prostega govora (kritizirat določene poteze).

Na linuxu so pa od NSA, ki je tako ali tako v interesu, da je vse backdoorano.

ABX je izjavil:

Se mi ne da več.

Ne moreš več, bulšitiraš od vsega začetka, delaš reklamo Giantovim biciklom, da so boljši od Cannondala zato ker lahko z njimi obiraš koruzo.
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

brodul ::

Dejstvo je da niti odprtokodni programi niso odporni na backdoore (to se je veckrat pokazalo).
Pri zaprtih je pa se slabse, ker ni mozen vpogled neodvisnih strokovnjakov in lajicne javnosti. Pod kontrolo drzati vse ljudi, ki jih svet ponuja, da napisejo blog. Ali pa pescico izbrancev, za katere je nemogoce trditi koliko so neodvisni, je IMO precej razlika. Pri zaprtokodnih stvareh pa so mozni se zelo trivialni backdoori.

Jaz zelo dvomim, da ma openSSH ali pa PAM backdoor, sem pa preprican, da ga Microsoftova identifikacija. Je pa res, da za nic od tega nimam materjalnih dokazov.

Itak pa en nivo zascite nikoli ni zadosti. IDS in IPS so cisto nekaj vsakdanjega. Ce se logi takoj posiljajo naprej in potem nekje drugje procesirajo, rata zabavno izkoriscat luknje v OSS sistemih.
Nekajkrat gre, potem pa se opazi. Kako se to dela na Microsoft pa zaprtih platformah pa ne vem. Tam so vse napake zalo 'tihe'.
Pretending to be a mature adult is so exhausting.

xxx ::

brodul je izjavil:

Jaz zelo dvomim, da ma openSSH ali pa PAM backdoor, sem pa preprican


Tole je iz debianovega openSSLja (openSSH ima dependancy nanj), obstajala je od 2006 do 2008 in je naredila private keye uganljive. Bug in hudo naključje? Ali backdoor? S syntax coloringom bo morda komu potegnilo... ;)

#ifndef PURIFY
   /*
    * Don't add uninitialised data.
     MD_Update(&m,buf,j); /* purify complains */
    */  
#endif
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

BaToCarx ::

Zgodovina sprememb…

  • spremenil: BaToCarx ()

brodul ::

Poznam ta backdoor. Ne vem ce je naklucje, najbrs ni. Ne bos verjel, da so to popravili.
Samo to da imajo odprtokodni projekti buge/backdoore, samo spodbudi, da se placajo code audite, ki so ponavadi javno objavljeni. Majo odprtokodni projekti dosti lukenj, ki so prijavljene, pa jih noben ne popravi zaradi tega ali onega razloga (zakaj le obstajajo hardened razlicice in patchajo to ali ono). Jaz sem preprican, da se od takrat naprej openssl in openssh se hudicevo gleda, sploh na Debianu.

Seveda pri zaprti kodi vse dela in je varno, poklici katerokoli podjetje in vprasaj, njim to dela in si varen, sploh se ne sekiraj. Samo potem ko so resni problemi noben nic kriv. Ljudje se pogovarjajo o varnosti, kot o predmetu na faksu. Bolj je na tekocem z nogometom. Zadaj so za par let. Samo upas lahko, da uporabljajo framework ali pa neko knjiznico, ki je odprtokodna ali pa jo vsaj uporablja se kdo drug ter je napisal black box teste.

Drugace pa te debate v Sloveniji nimajo veze, ker je vazno da je ISO-2700X. Ce ima aplikacija hudo varnostno raljivost, ne povedat sefu. Izkusnje zgolj izmisljene. Ponavadi odprtokodne resitve recejo: za to ni garancije oz. uporabljas na lastno odgovornost. Potem mas pa "Tle vse varno; move along". Katero bo kaj zbral clovek (ki je avtoriziran za odlocitev), ki noce odgovornosti in mu je vseeno za stranke iz tehnicnega vidika varnosti?

Za vse je prostor and time will tell. Jaz lahko spim.
Pretending to be a mature adult is so exhausting.

xxx ::

Tole sem našel... luškano:

Pa pa...

xxx ::

brodul je izjavil:

Poznam ta backdoor. Ne vem ce je naklucje, najbrs ni. Ne bos verjel, da so to popravili.
Samo to da imajo odprtokodni projekti buge/backdoore, samo spodbudi, da se placajo code audite, ki so ponavadi javno objavljeni. Majo odprtokodni projekti dosti lukenj, ki so prijavljene, pa jih noben ne popravi zaradi tega ali onega razloga (zakaj le obstajajo hardened razlicice in patchajo to ali ono). Jaz sem preprican, da se od takrat naprej openssl in openssh se hudicevo gleda, sploh na Debianu.

Seveda pri zaprti kodi vse dela in je varno, poklici katerokoli podjetje in vprasaj, njim to dela in si varen, sploh se ne sekiraj. Samo potem ko so resni problemi noben nic kriv. Ljudje se pogovarjajo o varnosti, kot o predmetu na faksu. Bolj je na tekocem z nogometom. Zadaj so za par let. Samo upas lahko, da uporabljajo framework ali pa neko knjiznico, ki je odprtokodna ali pa jo vsaj uporablja se kdo drug ter je napisal black box teste.

Drugace pa te debate v Sloveniji nimajo veze, ker je vazno da je ISO-2700X. Ce ima aplikacija hudo varnostno raljivost, ne povedat sefu. Izkusnje zgolj izmisljene. Ponavadi odprtokodne resitve recejo: za to ni garancije oz. uporabljas na lastno odgovornost. Potem mas pa "Tle vse varno; move along". Katero bo kaj zbral clovek (ki je avtoriziran za odlocitev), ki noce odgovornosti in mu je vseeno za stranke iz tehnicnega vidika varnosti?

Za vse je prostor and time will tell. Jaz lahko spim.


Nič novega nisi povedal, po drugi strani ti povem, da so celi windowsi vkljucno z notepadom disassemblani z vseh moznih koncev, od blackhatov pa do crackerjev ali pač samo ljudi, ki jim gre na k* da kaj ne dela. Ker je baza uporabnikov 40x večja so benefiti vsega najdenega veliko večji, da sploh ne omenjam, da najdeš, da imajo windowsi backdoor in to objaviš na "blogu". Ampak vse skupaj je čisto vseeno, varnosti se na način "tisti je rekel, da je varno" ne da igrati in ali je nekaj odprtokodno ali ni ni noben faktor pri vsem skupaj.
Pa pa...

Poldi112 ::

Seveda je faktor - velik faktor. To da Debian zajebe je mačji kašelj v primerjavi z MS, ki namensko pomaga NSA. Ampak ti vse skupaj mečeš v isti koš. Toliko o tem, kdo je trol.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

trizob ::

Poldi112 je izjavil:

Seveda je faktor - velik faktor. To da Debian zajebe je mačji kašelj v primerjavi z MS, ki namensko pomaga NSA. Ampak ti vse skupaj mečeš v isti koš. Toliko o tem, kdo je trol.


Tehnično je povsem ista reč, rezultat pa enak. Na ravni vrednostnih sodb pa je morda drugače, a koga to sploh zanima?!

Poldi112 ::

Kako je lahkko tehnično enako, če greš na roko NSA ali če ne greš?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

trizob ::

Poldi112 je izjavil:

Kako je lahkko tehnično enako, če greš na roko NSA ali če ne greš?


Ker je dokazano večkrat imela tudi OK podatknjene funkcionalnosti. Rezultat pa je isti ali je to podtaknjeno ali dogovorjeno.

Ne vpletaj čustev, pri ugotavoljanju učinka vrednostne sodbe nimajo kaj iskati.

Zgodovina sprememb…

  • spremenil: trizob ()

Poldi112 ::

Podtaknjene? Večkrat? Si lahko bolj konkreten? Tisti fiasko pri debianou je bil afaik posledica nerazumevanja in ne zlobe. Plus da je edini razlog, da se to sploh ve, odprtost. MS bi veselo zamolčal vse skupaj.

Bi te pa prosil, da mi pokažeš v Linux svetu nekaj, kar bo primerljivo recimo s tem:
http://www.guardian.co.uk/world/2013/ju...
o čemer gre ta tema.

Ker par bug-ov je zanemarljivo v primerjavi s tem. Razen če smo čustveno vpleteni, anede :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

trizob ::

Tehnično != moralno. Najprej loči ti dve kategoriji.

Nato pa še razumi, katere vse so odprtokodne skupnosti, te namreč niso samo skupnosti okoli Linuxa. Prav tako je večina znanih/razširjenih šifrirnih in zgoščevalnih algoritmov javnih, kar lahko enačimo z odprto kodo. Problem pa je tu še bolj izrazit, saj je ljudi, ki imajo znanje, da jih revidirajo oz. preverjajo njihovo implementacijo, še veliko manj.

Govorimo o varnosti in tu se odprtokodno izpostavlja kot bolj varno, kar nikakor ni samoumevno, temveč zgolj pod določenimi pogoji. Če se še enkrat ponovim:

Dostopnost izvorne kode, če je ne pregleda kompetentna in zaupanja vredna osebe ter jo sam prevajaš, nima nobene dodane vrednosti z vidika varnosti.


Podobno mislijo uredniki Wikipedije: TrueCrypt @ Wikipedia

Je pa ta preglednost, ki jo nudi odprta koda, zgolj predpogoj za boljšo varnost in nikakršno zagotovilo. Prav zato so pavšalne vse izjave, da je nekaj bolj varno, ker je odprtokodno in skrajno naivne, da nekdo nečemu bolj zaupa, ker je odprtokodno!

Nekaj za pokušino, si pa lahko sam poiščeš, koliko je tega ...

http://marc.info/?l=openbsd-tech&m=1292...
http://www.wired.com/opinion/2013/01/wi...
http://arstechnica.com/business/2012/02...
https://www.schneier.com/essay-198.html
http://www.freebsd.org/news/2012-compro...
http://www.theregister.co.uk/2003/11/07...

Da hecnega hrošča Kena Thompsona, ki ga je podtaknil v C prevajalnik, niti ne omenjam, saj se je tam uspešno skrival zelo dolgo. Četudi ni bil škodljive narave, pove veliko o varnosti (tudi odprte kode).
http://scienceblogs.com/goodmath/2007/0...

Zgodovina sprememb…

  • spremenil: trizob ()

Poldi112 ::

Vsi ti tvoji linki so malenkosti proti vendorju, ki zavestno pomaga državi vohuniti. Sorry, ni primerjave. Ne vem kako jo ti lahko vidiš. NSA, FBI, ... ki se trudijo vnesti kakšen backdoor v community projekt proti MS, ki z njimi aktivno sodeluje in jim da na pladnju vse.

Je pa ta preglednost, ki jo nudi odprta koda, zgolj predpogoj za boljšo varnost in nikakršno zagotovilo. Prav zato so pavšalne vse izjave, da je nekaj bolj varno, ker je odprtokodno in skrajno naivne, da nekdo nečemu bolj zaupa, ker je odprtokodno!


Ne moreš na podlagi argumenta, da noben sistem ni bulletproof narediti zaključka, da so vsi enaki. Ponovno, daj mi relevanten link, kjer je recimo Debian AKTIVNO pomagal voljhati. Ker tudi če predpostavimo da imajo kakšen backdoor, ki ga še niso odkrili, to niti slučajno ni v isti kategoriji s to novico, ki jo komentirava. Nihče ne trdi, da si z odprto kodo varen. Trdim pa, da je stopnja varnosti neprimerno višja od USA firme, ki aktivno sodeluje z agencijami svoje države.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

trizob ::

Prodajalec gor ali dol. Odprta koda je odprta koda.

Na ravni vrednostne sodbe so korporacije hudič, odprtokodne skupnosti angel.

Tehnično pa so OK produkti prav tako dovzetni na namerno vnešene ranljivosti, kar ima povsem enak učinek (četudi je zato potrebnega nekoliko več angažmaja, sredstev, znanja ...).

V razmislek ... Misliš, da razvijalcev OK nihče ne more plačati, da kaj ušpičijo? Ali misliš, da hrošč ne more biti načrtovan in predvidljivega učinka (npr. eskalacije pravic ali še kaj hujšega)?

Ne moreš na podlagi argumenta, da noben sistem ni bulletproof narediti zaključka, da so vsi enaki.


S strogo tehničnega stališča lahko naredim tak zaključek, nikakor pa nisem uporabil argumenta, ki mi ga podtikaš. Saj moraš nevarnost prav tako dokazati tudi na zaprtokodnih rešitvah, sicer težko rečeš, da je nevarna. Mirno pa lahko rečeš, da ne veš, kako varna je in stvarem, ki jih ne poznaš, raje ne zaupaj. Da bi jim lahko zaupal, bi potreboval revizijo te kode oseb/-e ki jim/ji strokovna javnost/ti zaupa/-š. Koliko kode pa je dokumentirano revidirane z varnostnega vidika? Kdo od forumašev vse prevaja na sistemu in ne namešča paketov z izvršljivimi datotekami?

Ponovno, daj mi relevanten link, kjer je recimo Debian AKTIVNO pomagal voljhati.


Da bi bila organizacija vpletena v kar koli, nisem nikoli omenjal. To je na ravni vrednostnih sodb. Pri nekaterih očitno tudi čustev.

Trdim pa, da je stopnja varnosti neprimerno višja od USA firme, ki aktivno sodeluje z agencijami svoje države.


Trditev je napačna. Ali to lahko trdiš za posameznike, ki so vpeti v OK skupnosti, da ne sodelujejo z istimi agencijami?

Za nameček so tudi te skupnosti veliko krat pomanjkljivo organizirane glede nadzora nad varnostjo projektov. Žal.

Morda ti bo potegnilo, če si še enkrat prebereš ta odstavek: TrueCrypt @ Wikipedia

V pomoč pri tem naj ti bo naslednje...

TC je OK. Krasno.

Nihče pa ni preveril integritete izvršljivih datotek z rezultatom standariziranega prevajanja, kaj šele resno revidiral kodo in implementacijo algoritmov, da bi to vsaj strokovna javnost sprejela.

Avtor, ki je to za zdaj nerevidirano kodo napisal in za varnosti neučakane pripravil tudi izvršljive datoteke, je povsem neznan. Oprosti, mene to spominja na nezaščiten seks s popolno neznanko iz brazilske favele.

Zgodovina sprememb…

  • spremenil: trizob ()

Poldi112 ::

>Trditev je napačna. Ali to lahko trdiš za posameznike, ki so vpeti v OK skupnosti, da ne sodelujejo z istimi agencijami?

Nič ni 100%, ampak jaz Debianu zaupam. Ne slepim se, da sem 100% varen, uporabljam pa sistem, za katerega mislim, da ima največjo stopnjo integritete in posledično najmanjšo stopnjo potencialne zlorabe. Odprta koda in sam communitiy okoli nje ne neprimerno bolj zaupanja vreden kot zaprtokodni izdelek usa firme.

>V razmislek ... Misliš, da razvijalcev OK nihče ne more plačati, da kaj ušpičijo? Ali misliš, da hrošč ne more biti načrtovan in predvidljivega učinka (npr. eskalacije pravic ali še kaj hujšega)?

Seveda je lahko. Saj si še sam dal dosti linkov, ki to potrjujejo. So what? Še vedno je OK skupnost daleč bolj zaupanja vredna kot zaprtokodna konkurenca.

>Da bi bila organizacija vpletena v kar koli, nisem nikoli omenjal. To je na ravni vrednostnih sodb. Pri nekaterih očitno tudi čustev.

Kje ti vidiš čustva? Simple vprašanje - ali trdiš, da OK nima prednosti glede varnosti? Če ja, mi lahko prosim najdeš kakšen primer, ekvivalenten temu iz novice?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

poweroff ::

ABX je izjavil:

True Crypt je varen ker ko pogledaš kodo vidiš da notri ni nobenega sranja za odklepat datoteke razen ključev ki si ti generiral.

Kako pa veš, da ključev ni zgeneriral pristranski generator "naključnih" števil? >:D
sudo poweroff

trizob ::

Poldi112, OK je pri zagotavljanju varnosti prednost, pravzaprav nuja. Nikakor pa sama po sebi ne zagotavlja nobene varnosti. Je prvi korak teka na dolge proge.

Zgodovina sprememb…

  • spremenil: trizob ()

k4vz0024 ::

Je pa zanimivo kako so se zgražali nad Stassijem in Udbo, sedaj pa delajo isto sami.>:D

Truga ::

k4vz0024 je izjavil:

Je pa zanimivo kako so se zgražali nad Stassijem in Udbo, sedaj pa delajo isto sami.>:D

http://falkvinge.net/2013/07/05/stasi-v...

Kle je en naredu primerjavo. :P
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Po Prismu je tu Muscular

Oddelek: Novice / Zasebnost
278110 (5210) gumby
»

Microsoft primoran umakniti ime "SkyDrive"

Oddelek: Novice / Industrijska lastnina
4315323 (13155) matejdro
»

Skriti deli Windows Blue (strani: 1 2 3 4 )

Oddelek: Novice / Operacijski sistemi
19470794 (64335) MrStein
»

Microsoft bi rad povedal resnico o sodelovanju v Prizmi

Oddelek: Novice / NWO
258915 (6932) trizob
»

Naslednik Hotmaila je Outlook.com (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
5119610 (16367) darkolord

Več podobnih tem