» »

Ranljivost v Linuxu in Androidu prisotna tri leta

Ranljivost v Linuxu in Androidu prisotna tri leta

Slo-Tech - V Linuxu so odkrili in v večjih distribucijah danes že tudi zakrpali ranljivost, ki je bila kodi jedra prisotna tri leta in je omogočala napadalcem prevzem popolnega nadzora (root) nad računalnikom, če so imeli na voljo omejen račun. Ranljivost je odkrilo izraelsko podjetje Perception Point. Dobila je oznako CVE-2016-0728. Za zdaj ni nobenih indicev, da bi jo kdo v praksi že zlorabljal, je pa z javnim razkritjem to postalo precej verjetneje, zato je toliko pomembneje posodobiti sisteme.

Ranljivost je prisotna v vseh verzijah jedra od vključno 3.8 dalje (torej od začetka leta 2013), prizadet pa je tudi Android od verzije 4.4 (KitKat) dalje. Ranljivost je posledica hrošča v keyringu, ki v Linuxu hrani šifrirne ključe, žetone in druge občutljive podatke, do katerih aplikacije ne smejo imeti neomejenega dostopa. Raziskovalci iz Perecption Pointa so našli način, kako lahko pretentajo jedro v sprostitev objekta v keyringu, da se prepiše z zlonamerno kodo in potem izvede z administratorskimi privilegiji. Tehnologije, kot sta SMAP (Supervisor Mode Access Prevention) ali SMEP(Supervisor Mode Execution Protection), in SELinux na Androidu lahko otežijo izrabo te ranljivosti, ne morejo pa je povsem preprečiti, ugotavljajo.

Glavni problem so to pot mobilne naprave in podobni sistemi, kjer so nadgradnje redkejše ali sploh neobstoječe. Medtem ko namizne in strežniške namestitve Linuxa redno dobivajo posodobitve, je Android znan po izjemni fragmentaciji. Številne naprave nadgradnje nikoli ne dobijo, preostale pa jo večinoma z večmesečnim zamikom. To pomeni, da bo odkrita ranljivost še meseca prisotna na približno 70 odstotkih vseh telefonov z Androidom.

74 komentarjev

«
1
2

popster ::

bi tko lahko rootal mojo xperio m? bi prišlo prav:)

carota ::

Če prav štekam, mora nepridiprav imet user account napravi. Če nimaš guest accounta na Androidu pol ni panike?

sisemen ::

Spet same laži, ce uporabnik ni root potem je linux popolnoma varen, lahko celemu internetu das dostop, pa se ne bo zgodilo nič. Samo windowsi imajo taksne probleme.

(nafutrajmo linux propagandiste z njihovim lastnim sr*njem (tm))

pegasus ::

Zanimivo ... včasih so bili lokalni exploitni vsak dan na meniju, pa smo rekli meh, zanimivi so bili samo remote root exploiti. Ti so danes večinoma pokrpani, zato že vsak lokalni root exploit pride na naslovne strani. Napredek je očiten ;)

celebro ::

carota je izjavil:

Če prav štekam, mora nepridiprav imet user account napravi. Če nimaš guest accounta na Androidu pol ni panike?

Verjetno je povsem dovolj da instaliras kakršnokoli aplikacijo. Poljubna zlonamerna aplikacija lahko preko tega exploita dobi root dostop in s telefonom počne karkoli. Rešujejo te varnostni mehanizmi, kot je SELinux.

Ales ::

sisemen je izjavil:

Spet same laži, ce uporabnik ni root potem je linux popolnoma varen, lahko celemu internetu das dostop, pa se ne bo zgodilo nič. Samo windowsi imajo taksne probleme.

(nafutrajmo linux propagandiste z njihovim lastnim sr*njem (tm))
Če ti kdo predlaga, da daj link na to, kje neki famozni "linux propagandisti" trdijo to, kar si si ti umislil, da "oni trdijo", boš šel pa v jok pa na drevo?

Looooooka ::

Link rabiš?
Pejt na slashdot pa preber katerokoli novico in komentarje, ki se tičejo Microsofta :D
Pa tudi če se začne z "Microsoft odprl kodo za..."
Mislim, da je že dovolj dokazov zato, da se lahko počasi prepiri o zaprti in odprti kodi zaprejo.
Odprta ni prav nič bolj varna od zaprte še posebej glede na to, da se večini ljudi niti sanja ne na kakšen način se testira in preverja zaprto kodo kaj šele tisto od malega mehkega.
Lahko mirno trdim, da majo zaposlene bolj sposobne programerje kot jih je na 99% vseh odprto kodnih projektih...vključno z linux jedrom.
Če če pogledaš razvijalska orodja vidiš, da so tam programerji, ki delajo za programerje ne pa kup mulcev, ki si futra ego z drkanjem nekih licenc in natolcevanjem o varnosti, ki naj bi bila tam zgolj zaradi licence. Gnoj smrdi pa če je zaprt v plastični vrečki ali pa free4all v hlevu. Odstrani ga lahko le nekdo z rednimi obiski in vilo. Pa če je to pingvin ali pa mali mehki.

jype ::

Looooooka> Odprta ni prav nič bolj varna od zaprte

Ja, je.

Looooooka> Lahko mirno trdim, da majo zaposlene bolj sposobne programerje kot jih je na 99% vseh odprto kodnih projektih...vključno z linux jedrom.

Trdiš lahko, res pa ni.

Zgodovina sprememb…

  • spremenilo: jype ()

sisemen ::

Ales je izjavil:

Če ti kdo predlaga, da daj link na to, kje neki famozni "linux propagandisti" trdijo to, kar si si ti umislil, da "oni trdijo", boš šel pa v jok pa na drevo?


Kar izvoli si forum preiskat.

Dr_M ::

Android je itak ena posebna cvetka na tem svetu.
Na splosno bi pa linux moral imet harcoded root pass "wellcome to hackers", da ne zgubljas dragocenih sekund.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Looooooka ::

jype je izjavil:

Looooooka> Odprta ni prav nič bolj varna od zaprte

Ja, je.

Looooooka> Lahko mirno trdim, da majo zaposlene bolj sposobne programerje kot jih je na 99% vseh odprto kodnih projektih...vključno z linux jedrom.

Trdiš lahko, res pa ni.

Ni.(danes je bil spet odkrit nov trojanec). In je res.
Deal with it. Med zaposlenimi majo tudi ljudi, ki so večji maherji na področju linuxa kot cel sl-tech skupaj.
Saj vem, da peče ampak včasih je pač treba sprejet dejstvo in it naprej.
Kot so recimo oni s tem ko so ugotovili, da lahko odprejo določeno kodo pa zaradi tega ne bodo bankrotirali.

Looooooka ::

Pa glede novice...glavni problem je isti kot pri vseh OS-jih. Folk, ki ne posodablja. Pa če je za to kriv uporabnik ali pa tisti, ki imajo čez njegov distro...krivo je neposodabljanje.
Razen če vprašamo tistih 5 bebčkov, ki radi postajo, da so že 15 let na isti verziji slacka in da nimajo problemov, ker majo vse zafirewallano, na net hodijo z lynxom in namesto googla in skypa komunicirajo zgolj z bitchx-om, ki so ga seveda prevedli sami. To, da ne vedo kdo je predsednik njihove države je pa zgolj naključje in ne stranski učinek nazadnjaštva.

trnvpeti ::

bolj kot je vazno ime predsednika(bilo katere drzave), je vazno recimo ime Snowden-a in kaj in zakaj je to naredil

SeMiNeSanja ::

Vi to ne razumete.

Jype je tak maher, da sam pregleda vso kodo Linuxa, predenj ga prevede in namesti! Saj to pa je prednost OpenSource-a, da lahko vse pregledaš!

No, če pa že najde kakšno napako, pa jo kar sam popravi.

Pismu, ste smotani, da mu ne verjamete, da je to zanj najbolj varen OS na svetu!
Kdo vam je kriv, če ne obvladate programiranja in tudi vi ne pregledate kodo OpenSource rešitev, ki jih nameščate na svoje mašine, potem pa jokate nekaj, da zadeva kao ni varna.

Ko bi vsi uporabniki bili tako napredni kot Jype, bi bili virusi, trojanci, backdoori in podobna nesnaga že zdavnaj stvar zgodovine!

(Se posipavam s pepelom - tudi jaz 'kar nameščam', ker pojma nimam, kaj počno vse tiste čudne krace v source kodi)

jype ::

Looooooka> Ni.(danes je bil spet odkrit nov trojanec). In je res.

Odprta koda je varnejša od zaprte, ne glede na to, kaj si ti želiš, da bi bilo res.

Looooooka> Deal with it. Med zaposlenimi majo tudi ljudi, ki so večji maherji na področju linuxa kot cel sl-tech skupaj.

Seveda, ampak to ne spremeni dejstva, da je tvoja izjava napačna.

SeMiNeSanja> Jype je tak maher, da sam pregleda vso kodo Linuxa, predenj ga prevede in namesti! Saj to pa je prednost OpenSource-a, da lahko vse pregledaš!

Ja, v resnici je nek jype našel tudi tole luknjo in jo zakrpal. Če bi ta luknja bila v Windows, bi jo nek jype našel težje, nezakrpana bi pa ostala dlje, kot je ves čas mogoče videti tudi v praksi.

SeMiNeSanja> Ko bi vsi uporabniki bili tako napredni kot Jype, bi bili virusi, trojanci, backdoori in podobna nesnaga že zdavnaj stvar zgodovine!

To je sicer res, ampak če bi vsi bili kot jype, potem tudi ne bi bilo vojn na svetu.

SeMiNeSanja> Pismu, ste smotani, da mu ne verjamete, da je to zanj najbolj varen OS na svetu!
SeMiNeSanja> Kdo vam je kriv, če ne obvladate programiranja in tudi vi ne pregledate kodo OpenSource rešitev, ki jih nameščate na svoje mašine, potem pa jokate nekaj, da zadeva kao ni varna.

Heterogen ekosistem je vedno varnejši od homogenega, ne glede na znanja, ki jih posedujejo uporabniki, zaradi preprostega dejstva, da lahko kot napadalec manj reči predvidiš vnaprej.

SeMiNeSanja ::

Saj bi marsikaj držalo, če nebi bilo dejstvo, da se večino varnostnih lukenj odkrije po čistem naklučju, ne pa kot posledica neke silne poglobitve v izvorno kodo neke rešitve.

Kdor je kdaj programiral in spisal nekaj, kar je 'nagajalo', dobro ve, kako mučno je včasih debugiranje. Pregledaš kodo 10x, pa še vedno ne najdeš vzroka napake. Pa govorimo tu o kodi, ki si jo sam spisal in jo imaš 'v glavi', v principu veš za vsako vrstico, čemu služi.

Potem pa pregleduj tujo kodo, za katero je čisto možno, da sploh nima nobene napake, pa da potem najdeš napako že na prvi pogled? Pa ne me zajebavat prosim!

jype ::

SeMiNeSanja> Potem pa pregleduj tujo kodo, za katero je čisto možno, da sploh nima nobene napake, pa da potem najdeš napako že na prvi pogled? Pa ne me zajebavat prosim!

Ne zajebavam: Ko kodo pregleduješ za potencialne načine zlorabe, jo pregleduješ z bistveno drugačnimi očmi kot med programiranjem. Ker sem že večkrat delal take vrste auditing lahko rečem, da je razlika dovolj velika, da preseže pričakovanja. Čarobna seveda ni, zato ni pričakovati, da bo kdorkoli našel vse napake, lahko pa z ustreznimi postopki in programerskimi praksami možnosti za nastanek varnostnih lukenj bistveno zmanjšaš.

Ales ::

sisemen je izjavil:

Ales je izjavil:

Če ti kdo predlaga, da daj link na to, kje neki famozni "linux propagandisti" trdijo to, kar si si ti umislil, da "oni trdijo", boš šel pa v jok pa na drevo?


Kar izvoli si forum preiskat.

In, kak je razgled tam gori?

Looooooka je izjavil:

Link rabiš?
Pejt na slashdot pa preber ...
:))

Plus točke za humor, definitivno...

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> Potem pa pregleduj tujo kodo, za katero je čisto možno, da sploh nima nobene napake, pa da potem najdeš napako že na prvi pogled? Pa ne me zajebavat prosim!

Ne zajebavam: Ko kodo pregleduješ za potencialne načine zlorabe, jo pregleduješ z bistveno drugačnimi očmi kot med programiranjem. Ker sem že večkrat delal take vrste auditing lahko rečem, da je razlika dovolj velika, da preseže pričakovanja. Čarobna seveda ni, zato ni pričakovati, da bo kdorkoli našel vse napake, lahko pa z ustreznimi postopki in programerskimi praksami možnosti za nastanek varnostnih lukenj bistveno zmanjšaš.

Ja, vidiš tisto kar ti skoči v glavo, predvsem kakšne grobe malomarnosti.

Kaj pa tam, ko imaš opravka z zapletenimi kriptoalgoritmi, ki jih še najboljši matematiki komajda razumejo? Pa ti kot programerček potem vedi, kje vraga naj bi bila kakšna napaka v tistem algoritmu, če niti ne veš, kaj hudiča tisto pravzaprav počne.

Tisto, kar sodi pod 'grobo malomarnost' ali po domače povedano 'šlamparijo' bi pričakoval, da se v OpenSource prečisti 'samo od sebe', pa več kot očitno temu ni tako, če so ob reviziji OpenSSL-a tuhtali, kako nemarno je bilo marsikaj od tiste kode 'zkupspacano' in brez kakih uporabnih komentarjev.

          ::

A smem vprašati, koliko ste sodelujoči v tej temi stari?

trnvpeti ::

veliko vecja je verjetnost, da pri odprti kodi nekdo opazi nekaj(malomarnost,backdoor,uNameIt), kot je to pri zaprti kodi, do katere ima dostop samo pescica

Ales ::

SeMiNeSanja je izjavil:

Kaj pa tam, ko imaš opravka z zapletenimi kriptoalgoritmi, ki jih še najboljši matematiki komajda razumejo? Pa ti kot programerček potem vedi, kje vraga naj bi bila kakšna napaka v tistem algoritmu, če niti ne veš, kaj hudiča tisto pravzaprav počne.
Kdo pa pravi, da revizije kode delajo samo naključni "programerčki"? Če je zadeva zapletena, pač zahteva pregled več znanja. Pri zaprti kodi je enako, ne..? če imajo slučajno zaposlen tak kader ali pa denar, da jih plačajo, sicer pa zaprta koda nima niti šanse, da jo kak tak človek vidi.

Tisto, kar sodi pod 'grobo malomarnost' ali po domače povedano 'šlamparijo' bi pričakoval, da se v OpenSource prečisti 'samo od sebe', pa več kot očitno temu ni tako, če so ob reviziji OpenSSL-a tuhtali, kako nemarno je bilo marsikaj od tiste kode 'zkupspacano' in brez kakih uporabnih komentarjev.

Taka logika sklepanja IMHO nima nobenega smisla. Da se enkrat pri nekem projektu ni dovolj hitro odkrila ranljivost, še ne pomeni, da nikoli ne odkrije. Poglej changeloge in commite pri večjih odprtokodnih projektih in boš videl, koliko opensource "prečisti" sam od sebe. Še večje luknje so bile odkrite in se odkrivajo vsak dan, samo novic ni o tem.

Za commite v stilu "popravljena napaka od včeraj", "kaj zaboga sem kadil", "prejšnji teden nismo opazili..." ne bo ničesar niti na /., kaj šele kje drugje, pa je tega toliko, da ne moreš ustrezno opisat s pridevnikom.

Da pa obstaja kup slabo napisane kode in to tudi na mestih, kjer je res ne bi smelo biti, pa ni dvoma. Žal. Ampak situacija je po moje še hujša pri zaprtokodnih projektih. Če nič drugega zato, ker je po mojih izkušnjah ljudi sram objaviti slabo spisano kodo, kar je samocenzura, ki pri skompiliranih blobih odpade.

Poglejmo torej z druge strani - če privzamemo, da so avtorji približno enako (ne)sposobni, izdelajo približno enako (ne)kvalitetno kodo... (kar je na splošno verjetno res za kateri koli dovolj velik projekt, povprečje je tu tu) kaj je bolje, da je zaprtokodna in da je nihče več ne vidi, ali da je odprtokodna in da jo lahko pogleda še kdo drug?

trnvpeti ::

pa se treba je omenit, da pri zaprti kodi imajo dostop vecinoma samo 'simpatizerji', kar se dodatno zmanjsa verjetnost

jype ::

SeMiNeSanja> Kaj pa tam, ko imaš opravka z zapletenimi kriptoalgoritmi, ki jih še najboljši matematiki komajda razumejo?

OK, to je druga kategorija, ampak tudi tu je kontrast, ki ga trnvpeti izpostavlja, ogromen. Izvorna koda je tudi pri kriptografskih algoritmih razumljivejša od razstavljene strojne kode.

SeMiNeSanja> Tisto, kar sodi pod 'grobo malomarnost' ali po domače povedano 'šlamparijo' bi pričakoval, da se v OpenSource prečisti 'samo od sebe', pa več kot očitno temu ni tako, če so ob reviziji OpenSSL-a tuhtali, kako nemarno je bilo marsikaj od tiste kode 'zkupspacano' in brez kakih uporabnih komentarjev.

To je res - tudi prosto programje nikakor ni imuno na neumnosti, le odkrije se jih lažje. Pri tem je pomembno, da ne zanemariš še enega kriterija: Pogostost uporabe. Bolj ko je program razširjen, večje so možnosti, da se ga poskusi zlorabit (in posledično zakrpat). Microsoft sicer ni primer slabe prakse, njegove lastne raziskave pa potrjujejo, da je odprtokodno programje v splošnem manj hroščato in ima manj varnostnih lukenj, ki so tudi hitreje zakrpane. To seveda velja le v povprečju, kar pomeni, da ti kot posamezniku ta podatek praktično nič ne pomaga, če bi rad bil varen pred zlorabo takih lukenj v programju, ki ga poganjaš.

V povprečju je še vedno daleč najbolje, da uporabljaš kar najbolj obskurno možno programje, takoj za tem pa v samozaščitno obnašanje spada redno posodabljanje (in pri tem Microsoft poskuša dohiteti odprtokodni svet, kjer distribucije skrbijo za posodabljanje _vsega_ programja, ki teče na računalniku, kar je v klasičnem smislu lastniškega programja praktično nemogoče, med premikanjem k software-as-a-service ekonomiji programja pa postaja vedno bolj akutalno tudi za Microsoft).

LightBit ::

SeMiNeSanja je izjavil:

Kaj pa tam, ko imaš opravka z zapletenimi kriptoalgoritmi, ki jih še najboljši matematiki komajda razumejo? Pa ti kot programerček potem vedi, kje vraga naj bi bila kakšna napaka v tistem algoritmu, če niti ne veš, kaj hudiča tisto pravzaprav počne.

Programer lahko preveri pravilnost implementacije algoritma, brez razumevanja matematike. Varnost pravilno implementiranega algoritma pa preverjajo matematiki.

Zgodovina sprememb…

  • spremenil: LightBit ()

LightBit ::

sisemen je izjavil:

Spet same laži, ce uporabnik ni root potem je linux popolnoma varen, lahko celemu internetu das dostop, pa se ne bo zgodilo nič. Samo windowsi imajo taksne probleme.

Zanimivo, da to prvič slišim.

Invictus ::

V pravem podjetju obstaja "Code Review".

Tukaj se zbere ekipa in lastnik kode, katerega ostali izprašujejo če ve kaj je sploh napisal.

Na ta način se najde marsikatera bedarija, namerna ali nenamerna. Precej koristna zadeva. Se pa to naredi še preden gre software v testno ekipo.

Ampak v Sloveniji sem to doživel samo v eni firmi, ki pa je danes ni več. Pa še to samo zato, ker smo člani ekipe prej delali za HP. Kasneje tega nisem več doživel.

Ravno tako je uporaba lint-a prej izjema kot pravilo, kolikor je meni znano. Marsikdo sploh ne ve kaj to je.

Moj bivši šef je pred leti naredil v eni formi skripto, ki je preverjala cirka 10 najbolj pogostih napak v C-ju. Glede na količino napak je bilo čudno da je to sploh delovalo. Notri so bili kosi kode, ki se sploh nikoli niso mogli izvesti zaradi butastih napak.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

gslo ::

pod takimi novicami je že prav enostavno napovedat komentatorje tipa looooka in SeMiNeSanja.

čakam še mtoseva, da bo šopek ignorantov popoln.

komaj čakajo, da se nam userjejo v usta, ko je odkrita ranljivost v odprti kodi, čeprav od sogovornikov z nekaj soli v glavi nihče nikoli ni trdil, da je opensource koda brez napak.

eh, sploh ne bom nadaljeval.

neboben ::

A se samo meni zdi, da so to ranjivost nakam pozno odkrili. Sej ne, da bi kej razumel kaj točno je šlo narobe. Ampak 3 leta se mi zdi kr dost časa, da to nek evil person zlorabi. Se zgodi in se tud še bo, jest sem pa po prebrani novici takoj pogledal, če je na voljo update za mojo distribucijo linuxa in zadovoljen ugotovil, da je možno sistem posodobit na verzijo, ki ima zakrpano to ranljivost. Sem presenečen na to novico ampak bom preživu, ker je zdej pofixsano.

johnnyyy ::

Invictus je izjavil:

Moj bivši šef je pred leti naredil v eni formi skripto, ki je preverjala cirka 10 najbolj pogostih napak v C-ju. Glede na količino napak je bilo čudno da je to sploh delovalo. Notri so bili kosi kode, ki se sploh nikoli niso mogli izvesti zaradi butastih napak.

Lahko podaš nekaj primerov teh najpogostejših napak? Pa mogoče še vprašanje, glede na to da je bilo ogormno napak, zakaj se niste poslužili kakšnega standarda npr. MISRA-C?

[D]emon ::

neboben je izjavil:

A se samo meni zdi, da so to ranjivost nakam pozno odkrili. Sej ne, da bi kej razumel kaj točno je šlo narobe. Ampak 3 leta se mi zdi kr dost časa, da to nek evil person zlorabi. Se zgodi in se tud še bo, jest sem pa po prebrani novici takoj pogledal, če je na voljo update za mojo distribucijo linuxa in zadovoljen ugotovil, da je možno sistem posodobit na verzijo, ki ima zakrpano to ranljivost. Sem presenečen na to novico ampak bom preživu, ker je zdej pofixsano.


Najbrz je delno razlog temu tudi dejstvo, da se primarno gleda na remote exploite, tale specificno pa zahteva lokalen user acc.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

SeMiNeSanja ::

Mislim, da enostranski zagovorniki OpenSource kode pozabljate, da OpenSource niso samo Linux kernel in podobne zadeve, na katerih visi bogvedi koliko razvijalcev, ki si sem pa tja tudi gledajo pod prste.

OpenSource so tudi razni 'izdelki', ki jih spišejo kakšni študenti kot seminarsko nalogo, diplomsko delo, hobbi projekt. To kodo po vsej verjetnosti nikoli ni nihče preverjal, tudi če je javno objavljena. Ljudje googlajo, vidijo da je nek software za njihovo potrebo for free na voljo in hop, ga že nalagajo. Če dela tisto, kar so pričakovali, ga potem priporočijo še kakšnemu kolegu.

Koliko je tega, kar se je tako uveljavilo in se valja po raznih repozitorijih, ne da bi kdajkoli kdo preveril kodo, ne ve nihče!
Vsi vedno samo govorite o velikih projektih, na koncu pa se pri OpenSSL-u izkazalo, da bo treba celo zadevo še enkrat vzeti pod drobnogled -pa se mi ne zdi, da je ta kos kode ravno nek nepomemben. Če je že zu odpovedal sistem, ki ga tako hvalite za OpenSource projekte, se lahko samo sprašuješ, kaj je potem z ostalimi, manj pomembnimi projekti. Ravno ti mali one-man-band projekti pa so lahko pravi trojanski konji.

Pozabljate pa še eno stvar. Resno mislite, da samo 'the good guys' gledajo odprto kodo in iščejo napake v njej? Koneckoncev se da prav fino zaslužiti z odkrivanjem napak in njihovo prodajo za namene zlorab. Good guy-u malo potrepljajo po rami, če odkrije ranljivost, bad guy si pa napolni žepe.

Pri zaprti kodi je tistim 'bad guy-em' vendarle malenkost težje odkrivat ranljivosti, saj nimajo izvorne kode na voljo.

jype ::

SeMiNeSanja> Koliko je tega, kar se je tako uveljavilo in se valja po raznih repozitorijih, ne da bi kdajkoli kdo preveril kodo, ne ve nihče!

Tudi nihče ne ve, koliko je zaprte kode, ki je napisana tako, da je en študent na praksi dobil nalogo, potem se je pa .exe nekam objavilo in vse skupaj pozabilo.

SeMiNeSanja> Pri zaprti kodi je tistim 'bad guy-em' vendarle malenkost težje odkrivat ranljivosti, saj nimajo izvorne kode na voljo.

Po drugi strani pa podjetja zanje sama vgradijo luknje, po naročilu. Tudi Microsoft.

Zgodovina sprememb…

  • spremenilo: jype ()

Zvezdica27 ::

ah daj no... večina linux distro ima vgrajen recovery dostop, ki je root in to brez gesla (moraš posebej to nastavljati). Eni imajo to disablano.

Ali pa porkamadona chrootaš iz liveDVDja... pa ne me jebat... kakšne novice, brezveze...

enkripcija, lvm + updatan sistem in to je to. Drugače pa se da priti not.

zz

LightBit ::

SeMiNeSanja je izjavil:

Mislim, da enostranski zagovorniki OpenSource kode pozabljate, da OpenSource niso samo Linux kernel in podobne zadeve, na katerih visi bogvedi koliko razvijalcev, ki si sem pa tja tudi gledajo pod prste.

Tudi zaprto-kodni programi niso samo Microsoft.

SeMiNeSanja je izjavil:

Pri zaprti kodi je tistim 'bad guy-em' vendarle malenkost težje odkrivat ranljivosti, saj nimajo izvorne kode na voljo.

Nekateri bad guy-i kar dobro razumejo assembler.

Aja, pa OpenSSL je samo za stran. Sem enkrat gledal API, pa sem bil zgrožen. Kakšna mora biti šele koda.
Odprta-koda ne garantira, da je program dober, se pa lažje o tem prepričaš.

Ne razumem, zakaj je javno objavljena izvorna koda slaba stvar?
Razumem, če rečeš, da je Photoshop boljši kot GIMP. Ne razumem pa, zakaj bi bil zaprto-kodi Photoshop boljši od odprto-kodnega Photoshopa?

Zvezdica27 je izjavil:

ah daj no... večina linux distro ima vgrajen recovery dostop, ki je root in to brez gesla (moraš posebej to nastavljati). Eni imajo to disablano.

Ali pa porkamadona chrootaš iz liveDVDja... pa ne me jebat... kakšne novice, brezveze...

enkripcija, lvm + updatan sistem in to je to. Drugače pa se da priti not.

zz

To zahteva fizični dostop in ni isto.
Pri tej ranljivosti lahko uporabnika pripraviš do tega, da požene malware z navadnim uporabnikom, ki potem pridobi root.

Zgodovina sprememb…

  • spremenil: LightBit ()

Yacked2 ::

Vsi ti buggi, posodobitve za Andorid telefone pa verjetno nikoli ne bo izdana. Google se hvali z Android 6, jaz imam pa na telefonu še vedno 4.4, ali je kje v bližini posodobitev na 6, jaz je ne vidim. Problem proizvajalcev je to, da je vse razdrobljeno, toliko različnih verzij enega in istega modela itd... Apple ima to precej boljše pošlihtano, ena naprava, en OS...
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

SeMiNeSanja ::

jype je izjavil:


SeMiNeSanja> Pri zaprti kodi je tistim 'bad guy-em' vendarle malenkost težje odkrivat ranljivosti, saj nimajo izvorne kode na voljo.

Po drugi strani pa podjetja zanje sama vgradijo luknje, po naročilu. Tudi Microsoft.

Samo kar se jaz ne sekiram toliko, če ima NSA backdoor do mojega računalnika, kot pa neki cybermafiozo.
NSA se bo trudila, da ne bom opazil, da me je kdaj 'obiskala' (čeprav nevem, zakaj naj bi bil zanje zanimiv), medtem ko bom preklemansko dobro občutil, če me bo 'obiskal' nek cybermafiozo.
Pri tem je še vedno zgolj hipotetično in stvar vere, če res MS&Co vgrajujejo backdoor-e po naročilu 3-črkovnih agencij.

Po drugi strani pa nek Linux distro ni prav nobena garancija, da neka NSA ne more vsaj začasno podtakniti kakšen backdoor preko avtomatiziranih update mehanizmov. 'Na ukaz' lahko luknjičav update pošljejo tudi izključno nekemu določenemu uporabniku, tako da ne bo nihče drug kdajkoli uspel ugotoviti, da se source in prevedena verzija kode ne ujemajo. Če se gigant kot MS kvazi ne more zoperstaviti 'naročilu', kako se bodo šele Linux distro-palčki?

Kar hočem reči: Če si postal zanimiv za 'nacionalno varnost', kot navaden smrtnik nimaš prav nobene šanse, da ti nebi kaj podtaknili, pa če imaš Linux ali Windows. V tem primeru postane varnost nekaj takega, kot če mali deklici zvečer pripoveduješ pravlico o princeski in žabcu.

Nakladanje, da je Linux in OpenSource pa nevemkako varen pa grdo, neodgovorno zavajanje ljudstva.

Software je pač software, zanesti pa se ne moreš niti v tistega, ki si ga sam napisal, kaj šele v nekaj, kar je napisal nekdo XY, pa ne glede na to, ali je to MS ali 'Open Source Community'.

Exploitov je tam zunaj na trgu več kot dovolj - za bilo katero platformo. Če imaš denar, jih lahko brez večjih težav kupiš. Ne vem, s čem se TI ukvarjaš, da te tako sekirajo NSA in podobne organizacije. Mene prej sekirajo navadni kriminalci, ki si lahko kupijo te exploite, za katere ni nobenih popravkov.

jype ::

SeMiNeSanja> Samo kar se jaz ne sekiram toliko, če ima NSA backdoor do mojega računalnika, kot pa neki cybermafiozo.

Kako pa veš, da cybermafiozo ni odkril backdoora, ki ga uporablja NSA?

SeMiNeSanja> Po drugi strani pa nek Linux distro ni prav nobena garancija,

Drži. Garancije v praksi nimaš nikoli.

SeMiNeSanja> Nakladanje, da je Linux in OpenSource pa nevemkako varen pa grdo, neodgovorno zavajanje ljudstva.

Linux in prosto programje sta varnejši alternativi. Nihče ne pravi, da sta varni (razen ko se zmoti).

SeMiNeSanja> Ne vem, s čem se TI ukvarjaš, da te tako sekirajo NSA in podobne organizacije.

Z varovanjem zaupnih podatkov, ki ne smejo past v roke NSA, na primer.

Zgodovina sprememb…

  • spremenilo: jype ()

Invictus ::

johnnyyy je izjavil:


Lahko podaš nekaj primerov teh najpogostejših napak? Pa mogoče še vprašanje, glede na to da je bilo ogormno napak, zakaj se niste poslužili kakšnega standarda npr. MISRA-C?

Če bi vedel v kateri firmi sem začel, bi tega ne spraševal ;).

BTW. danes po skoraj 20 letih ko me ni tam, ni nič boljše :D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

jype je izjavil:


SeMiNeSanja> Ne vem, s čem se TI ukvarjaš, da te tako sekirajo NSA in podobne organizacije.

Z varovanjem zaupnih podatkov, ki ne smejo past v roke NSA, na primer.

'Optimalno' jih zavaruješ v tempest prostoru brez povezave na omrežje.
OS je potem popolnoma brezpredmeten. Lahko je tudi XP brez vsakega SP.

Seveda potem tudi ne smeš vnašat USB ključke in podobne zadeve v to zaščiteno okolje.

Potem pa moraš še 24/7 varovati in nadzirati osebe, ki imajo dostop do tega sistema. Pa njihove družinske člane tudi.

Problem pri NSA in podobnih organizacijah je ta, da imajo na voljo potrebna sredstva, da lahko pridejo do informacij tudi 'po drugi poti'. Ne vem, če bi 1% slovenskih 'uradnikov' odklonilo kakšno nesramno ponudbo v obliki kovčka polnega bankovcev. Takšne pa lahko 'omehčaš' tudi tako, da kakšnega njihovega družinskega člana povabiš na 'izlet'....

Edini argument, s katerim se 100% strinjam, je tisti, da lahko tudi zlikovci odkrijejo backdoor, ki bi ga dala kakšna vladna organizacija nekam vgraditi.

Vendar pa zlikovcem ni v interesu takšne zadeve uporabiti na zelo omejenem krogu žrtev in tako ostati čim dlje neodkriti. Tu velja princip, da je treba v čim krajšem času prizadeti čim večje število žrtev in maksimirati izplen. Razkritje mehanizma je tu že vkalkulirano in lahko računaš, da bo zloraba opažena v razmeroma kratkem času. Nato se prično generirati IPS signature, antivirusne signature, čez nekaj časa pa se pojavi tudi patch za prizadeti sistem.
Če sproti skrbiš za svoje sisteme, je verjetnost, da bi ravno tebe prizadeli zlikovci razmeroma nizka. Zagotovo jo pa ne moreš izključiti. Sploh če si se zanašal zgolj na en nivo zaščite.

Seveda nastradajo množice tistih, ki ne posodabljajo svojih sistemov, kar se lepo vidi pri virusih, pred katerimi so posodobljeni sistemi že dolgo imuni, pa še več let po izbruhu okužujejo sisteme brezbrižnih uporabnikov.

Zgodovina sprememb…

Ales ::

SeMiNeSanja je izjavil:

OpenSource so tudi razni 'izdelki', ki jih spišejo kakšni študenti kot seminarsko nalogo, diplomsko delo, hobbi projekt. To kodo po vsej verjetnosti nikoli ni nihče preverjal, tudi če je javno objavljena. Ljudje googlajo, vidijo da je nek software za njihovo potrebo for free na voljo in hop, ga že nalagajo. Če dela tisto, kar so pričakovali, ga potem priporočijo še kakšnemu kolegu.

Tako obnašanje je vprašljivo s strani varnosti. Pozabljaš pa, da je tako programje običajno na nivoju relativno obskurnih userspace programčkov in pozabljaš tudi, da je velika večina uporabljenega programja vseeno morala prej postati del distribucije, kar ni tako enostavno. Si si kdaj pogledal kako zahteven proces je to pri recimo Fedori? Je to 100% zagotovilo varnosti? Ne. Je pa precej bolje kot nič.

Če z Githuba potegneš dol skripto in jo na slepo izvedeš, po možnosti še kot root, si potencialen osel. Ni nujno, da si osel, lahko pa da si. Če si recimo v Archu iz uradnega repozitorija naložiš kak ffmpeg si potencialno precej manjši osel. Pravzaprav je dosti verjetno, da sploh nisi osel. Čeprav je recimo v ffmpeg-u bil odkrit en nasty bug par dni nazaj. Ampak je bil odkrit in popravljen. In ne, nihče ne trdi, da jih ni še N prisotnih.

Po drugi strani pa je popolnoma nepregledanega programja eno nepojmljivo morje v Windows svetu. .exe datoteke z ŽNJ spletnih strani, shareware, freeware, bog-si-ga-vedi-ware, pa sploh še nismo prišli do ne-mi-jokat-ker-si-fasal-virus-warea, ki ga je 99% na raznih warez straneh. Koliko tega sranja folk vsak dan veselo nalaga, pa sploh nima možnosti pogledati kode, tudi če bi jo kdo hotel? Niti kaj in kam se ti naloži ne veš, kaj šele, da bi vedel, kaj je v datotekah. Halo, folk pri nas pogosto nalaga cel zaprtokoden OS potegnjen z warez strani...

Včasih se mi zdi, da folk iz Windows sveta sploh ne ve, kako repozitoriji delujejo in kolikšna je razlika med tem, da recimo v Fedori izvedeš 'yum install žnj' ali v Archu 'pacman -S žnj' ali da z neke strani potegneš žnj.exe in ga veselo poklikaš... So uradni repozitoriji 100% varni? Ne, seveda ne, daleč od tega. So pa varnejši.

Koliko je tega, kar se je tako uveljavilo in se valja po raznih repozitorijih, ne da bi kdajkoli kdo preveril kodo, ne ve nihče!
Uuu! Ne ve nihče! Ježešmarija, ježešmarija! Po nas je! Po nas je..!!! :))

Hmmm... a ne pretiravaš malo s širjenjem panike? :)

V uradne repozitorije se lahko prikrade marsikaj, ne boš pa fasal ravno flesh eating bakterije tam. Kak bug in varnostno luknjo pa že, brez tega ne gre. In nihče tudi ne trdi, da tega ni. Samo poglej changeloge projektov, popravkov kolikor hočeš.

Pri zaprti kodi je tistim 'bad guy-em' vendarle malenkost težje odkrivat ranljivosti, saj nimajo izvorne kode na voljo.

Tu torej tiči zajec, security through obscurity?. Naj bo koda največji možni crap, samo da je nihče ne vidi neskompajlane? U ja, to pa res pomaga...

Če bi recimo cel Github bil poln .exe-jev in ne bi nikjer bilo kode v vpogled, bi bilo to bolje, kot je zdaj?

Greznica na Androidu je varnejša, ker nihče ne vidi, kaj se dogaja potem ko preljubi proggy dobi obkljuk da lahko prosto dostopa do vseh kontaktov in nato še leve ledvice? Srsly?

SeMiNeSanja ::

Če govoriš o Security through obscurity, potem meni pogled zahaja proti Linuxu.
Je že tako, da je bolj obskuren v tej primerjavi.

Ampak point, ki sem ga hotel nakazati je v tem, da ni važno kaj imaš. Če te nekdo vzame na piko, bo imel načine in sredstva, da bo prišel do podatkov, ki jih skušaš pred njim skrivati.

Ne vem, kaj ima tu veze userspace, če imaš na voljo privilege escalation exploit. Pa tudi če nek program teče na navadnem user accountu, še vedno lahko naredi čuda. Morda ne bo naredil škodo na sami 'gostujoči' platformi, lahko pa je odskočna deska za kompromitacijo drugih sistemov v mreži. Morda pa potem tudi enkrt prestreže root password, ko bo admin preko ftp prenašal datoteke?

Z zavajanjem, da je Open Source sam po sebi 'varen' se narod potem začne malomarno obnašat. Na sistem, ki ga ne obvlada nalaga stvari, ki jih je nekje nagooglal (wtf uradni repositorij, če zadetek ni na prvem mestu v googlu!), sistem ne posodablja (lahko se kaj zatakne?) in polomija je predprogramirana.
Za takega uporabnika bi bilo bolje, da bi ostal na Windowsih, kjer bi se mu vsaj približno sanjalo, kaj dela.

Ales ::

SeMiNeSanja je izjavil:

Če govoriš o Security through obscurity, potem meni pogled zahaja proti Linuxu.
Je že tako, da je bolj obskuren v tej primerjavi.

Opa, odprtokoden Linux je postal zastopnik security through obscurity pristopa k varnosti... Haha. Dobra.

Ampak spregledal sem... kako je torej s kodo z Githuba, bi bila varnejša, če bi bili tam samo .exe na voljo, brez kakršnega koli vpogleda v source?

Kaj pa Android proggyi? Ali pa iOS če hočeš... Varnejši so, ker ne vidiš, kaj delajo?

Sori, spregledal sem odgovore.


Ampak point, ki sem ga hotel nakazati je v tem, da ni važno kaj imaš. Če te nekdo vzame na piko, bo imel načine in sredstva, da bo prišel do podatkov, ki jih skušaš pred njim skrivati.

A je kdo trdil, da ni tako..? Jaz sem včeraj eno žgečkal dokler mi ni vse povedala, preverjeno deluje tudi pri ugasnjenem računalniku.


Z zavajanjem, da je Open Source sam po sebi 'varen' se narod potem začne malomarno obnašat.

Sori, zavaja kje, kdo..? Kateri ubogi narod je tako strahotno trpinčen??

Če vprašam, kje je kdo trdil, da je odprta koda "sama po sebi varna"... bom spet spregledal odgovor? In ne, nisem vprašal, kje je kdo trdil, da je varnejša, ker to definitivno trdi folk, z mano vred.


Na sistem, ki ga ne obvlada nalaga stvari, ki jih je nekje nagooglal (wtf uradni repositorij, če zadetek ni na prvem mestu v googlu!), sistem ne posodablja (lahko se kaj zatakne?) in polomija je predprogramirana.
Za takega uporabnika bi bilo bolje, da bi ostal na Windowsih, kjer bi se mu vsaj približno sanjalo, kaj dela.

Si tako predstavljaš novopečene uporabnike linux distribucij? In recimo da taka imaginarna duša obstaja, za njene zmote in pomote je linux kriv ali odprta koda ali kdo..? Zih je odprta koda spet usekala, kot ponavadi. Čim prej se ta obskurnost neha vsajat, tem lažje bo takim dušam pravilno če ne kar najpravilneje uporabljati Windows. What could go wrong when using Windows...

p.s.
Za tiste, ki se niso naveličali brati in mogoče ne vedo, pa jih zanima - Arch npr. ima eno najbojših dokumentacij v linux svetu. Odličen wiki in tudi forum... toplo priporočam za vse potrebe predprogramiranja... :)

bleem ::

am .. glede exploitov .. in iskanja lukenj .. a se še dandanes sploh brska po izvorni kodi? se ne zaganja raznih frameworkov, ki iščejo anomalijo in šele ko se anomalija najde se začne brskati globlje?

LightBit ::

Ja, običajno kombinirajo.

Bistri007 ::

> Ranljivost v Linuxu in Androidu prisotna tri leta

A sta Linux in Android dve različni stvari?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Looooooka ::

gslo je izjavil:

pod takimi novicami je že prav enostavno napovedat komentatorje tipa looooka in SeMiNeSanja.

čakam še mtoseva, da bo šopek ignorantov popoln.

komaj čakajo, da se nam userjejo v usta, ko je odkrita ranljivost v odprti kodi, čeprav od sogovornikov z nekaj soli v glavi nihče nikoli ni trdil, da je opensource koda brez napak.

eh, sploh ne bom nadaljeval.

Vsakič, ko se napiše, da je problem v zaprti kodi se trdi točno to.

Bistri007 je izjavil:

> Ranljivost v Linuxu in Androidu prisotna tri leta

A sta Linux in Android dve različni stvari?

Ko pride do problemov ja. Ampak glede na to, da so navadni uporabniki dejansko odvisni od proizvajalca telefonov to tudi drži. V večini linux distribucij si lahko z malo dela skompajlas in posodobis kernel brez njihovega vmešavanja. Malce težje na napravi, kjer je po možnosti že bootloader zaklenjen.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Looooooka ::

Ampak spregledal sem... kako je torej s kodo z Githuba, bi bila varnejša, če bi bili tam samo .exe na voljo, brez kakršnega koli vpogleda v source?

Če jo vsakič podrobno pogledajo samo ljudje, ki želijo zlorabiti napake, tisti, ki naj bi napake odpravljali pa samo na tri leta potem ja. Exe bi bil manj nevaren.

Linux in prosto programje sta varnejši alternativi. Nihče ne pravi, da sta varni (razen ko se zmoti).

#Bullshit, #fanboy, #zavajanje, #nofactualevidence

Zgodovina sprememb…

  • spremenilo: Looooooka ()

Looooooka ::

Zvezdica27 je izjavil:

ah daj no... večina linux distro ima vgrajen recovery dostop, ki je root in to brez gesla (moraš posebej to nastavljati). Eni imajo to disablano.

Ali pa porkamadona chrootaš iz liveDVDja... pa ne me jebat... kakšne novice, brezveze...

enkripcija, lvm + updatan sistem in to je to. Drugače pa se da priti not.

zz

To se da tudi z drugimi OS-ji. Ampak ne glede na OS se ponavadi smatra, da je dostop do računalnik omejen oziroma, da je omejen vsaj dostop do nastavitev biosa.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivost v izvedbi VPN v Linuxu in Unixu

Oddelek: Novice / Varnost
245294 (3585) MrStein
»

Hude ranljivosti v Symantecovi programski opremi

Oddelek: Novice / Varnost
194933 (2766) stara mama
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5120837 (16250) MrStein
»

Svež popravek za od mrtvih obujen Windows XP (strani: 1 2 )

Oddelek: Novice / Varnost
9440875 (35533) MrStein
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
305379 (4007) riba1122

Več podobnih tem