» »

Ranljivost v Linuxu in Androidu prisotna tri leta

1
2
»

black ice ::

Zakaj bi bil exe manj nevaren? Če se ti ne spoznaš na vzratni inženiring to še ne pomeni, da lahko posplošuješ.

filipk ::

Looooooka je izjavil:


Če jo vsakič podrobno pogledajo samo ljudje, ki želijo zlorabiti napake, tisti, ki naj bi napake odpravljali pa samo na tri leta potem ja. Exe bi bil manj nevaren.


Exe bi bil manj nevaren, ker ?

Zvezdica27 ::

lp,

lej, fizični dostop je največja šala... pride in naredi to. Zdaj pa: če je to tko, kateri profi vohun ali karkoli se bo šel jebat z online dostopom če za skor vsak ključni računalnik točno veš kje je: in je fizični dostp logična rešitev. V primeru politika počakaš, da gre ne vem, srat, ali pa ven tečt, v primeru serverjev vlomiš v firmo.

Kaka brezvezna fora so tile online dostopi, to je kvečjemu za računala ki so najpomembnejša in posebej zavarovana - tam pa maš lahko tako enkripcijo in forewalle in namenske programe za dostop, da tele ranljivosti v določenih programih niso bistvene.

Tko da... kot sem rekel. Ker fizini dostop za 90% stvari pomaga: chroot in si not (ali pa recovery dostop), razen če imaš LVM enkripcijo, kar pa skor noben nima.

zz

aja... iranski jedsrki program, remeber: USB ključ je imel virus.

TKo da tele noveice...

zz

Zgodovina sprememb…

trnvpeti ::

ne ve imena Snowdena, še manj kaj in zakaj je naredil, iranski jedrski program enači z nečem drugim....

Jupito ::

Najdeta se 2 mulca. Enemu je ati kupil drona, drugi ima frčoplan, ki so ga naredili pri modelarskem krožku. 3,2,1... drama!

Otroc...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Jst ::

Na eni varnostni konferenci (predavanju) je tip povedal zanimivo informacijo.

Microsoft je skozi leta najemal vedno več varnostnih strokovnjakov, a čas, ki je pretekel od objave ranljivosti v njihovi programski opremi, in objavljenem patchu, se je tudi povečeval. (~2012)

Pokazal je slide, ki so zajemali od leta 2006 do 2012 in kazali, kdaj se je ranljivost objavila in kdaj popatch-ana.

To ni (bila) kritika MSja, ampak eden izmed primerov, kako več programerjev ne pomeni tudi hitrejše izdelave software-a, patchov, update-ov,...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

SeMiNeSanja ::

Spet en udarec po 'Open Source-u' in bajeslovni 'višji varnosti':

Researcher alleges to have found backdoor in GCHQ VoIP encryption - Bentham's Gaze
GCHQ algorithm open to surveillance - BBC
Secure Chorus open source - Bit Bucket
Article about backdoor in GCHQ encryption - Engadget

Tokrat so našli backdoor v Mikey-Sakke enkripcijskem algoritmu - in glej ga vraga, zadeva je Open Source - se pravi baje miljon krat pregledana, analizirana, 'varna',....

V bistvu stvar dokazuje samo to, kar že ves čas govorim: tudi NSA&Co prispevajo svoje k OpenSource-u. Potem pa pridejo mimo takšni, ki verjamejo, da je to že po defaultu 'bolj varna koda' in se na koncu lepo opečejo.

Za mene ta zgodba ni nobeno presenečenje. Prej bi rekel, da se tam zunaj vali še cel kup drugih gnilih jajc z nalepko 'OpenSource', ki čakajo na to, da se jih razkrije.

jype ::

SeMiNeSanja> V bistvu stvar dokazuje samo to, kar že ves čas govorim: tudi NSA&Co prispevajo svoje k OpenSource-u. Potem pa pridejo mimo takšni, ki verjamejo, da je to že po defaultu 'bolj varna koda' in se na koncu lepo opečejo.

Stvar predvsem nikakor ne dokazuje, da lastniško programje ni manj varno, kar pomeni, da tudi ne dokazuje, da prosto programje ni bolj varno.

SeMiNeSanja> Za mene ta zgodba ni nobeno presenečenje. Prej bi rekel, da se tam zunaj vali še cel kup drugih gnilih jajc z nalepko 'OpenSource', ki čakajo na to, da se jih razkrije.

V to ne dvomi nihče.

Dvomimo pa v tvojo trditev, da odprto in prosto programje ni bolj varno od lastniškega, zaprtega.

SeMiNeSanja ::

jype je izjavil:


Dvomimo pa v tvojo trditev, da odprto in prosto programje ni bolj varno od lastniškega, zaprtega.

Ne obračaj zdaj besed in trditev!

Za zaprto kodo se ve, da je toliko dobra/zanesljiva/varna, kolikor pač zaupaš posameznemu proizvajalcu.

Poanta je na OpenSource rešitvah, katere proglašate za superiorne, neranljive, brezmadežne, nevem kolikokrat preverjene, ker je vsa koda na voljo,.....

Tu si je treba enkrat za vselej nehat zatiskati oči. Gnila jajca SO prisotna in nihče ne ve, koliko jih je.
Koliko primerov je še potrebnih, da se bo dojelo, da je kontrola izvorne kode bistveno pod tistim nivojem, v katerega bi radi verniki verjeli?
Pa dajte realno razmisliti, koliko miljonov vrstic kode se vsako leto napiše. Da bi res vse to bilo preverjeno? Na buge že mogoče, na dobro skrite backdoor-e pa praktično nemogoče.

Če se slepo verjame v efektivnost kontrole izvorne kode - kam bom potem šel podtakniti gnilo jajce? Seveda tja, kjer ga verniki in entuziasti ne pričakujejo. Če je to koda, ki se potem uporablja še v zaprtokodnih rešitvah, še toliko bolje - dve muhi na en mah!

Je zato vse odprtokodno zanič? NE !!!
Je zato zaprtokodno boljše? NE !!!
Ampak tudi odprtokodno zato ni nič boljše - prav isti šmoren je, ker moramo v obeh primerih več ali manj slepo verjeti, da nas ni nekdo nategnil.
In ne mi spet prihajat na dan z idejami, da lahko sam preveriš Open Source kodo, ker takšna gnila jajca ne odkrijejo niti tisti, ki bi jo morali (zaprtokodni programerji, ki to kodo vgrajujejo v svoje izdelke). Da bom jaz karkoli odkril, pa bi bila že čista znanstvena fantastika, pa mi lahko sprintaš vso kodo in še nekoga daš zraven, da jo bo bral in interpretiral.

Ales ::

SeMiNeSanja je izjavil:

jype je izjavil:


Dvomimo pa v tvojo trditev, da odprto in prosto programje ni bolj varno od lastniškega, zaprtega.

Ne obračaj zdaj besed in trditev!

Reče nekdo, ki je odprtokoden Linux označil za projekt, ki se poslužuje "security through obscurity" pristopa k varnosti.

Poanta je na OpenSource rešitvah, katere proglašate za superiorne, neranljive, brezmadežne, nevem kolikokrat preverjene, ker je vsa koda na voljo,.....

Izjave preslikavaš na druge, že n-tič, in vsakič, ko te kdo pobara za link na te famozne izjave o "brezmadežnosti"... nič. "Oni" to trdijo "tam" nekje, vsem je to jasno, da to "nekdo" nekje "trdi"...

Je zato vse odprtokodno zanič? NE !!!
Je zato zaprtokodno boljše? NE !!!

Kar že ves čas dopovedujemo, pa se ne prime.

Ampak tudi odprtokodno zato ni nič boljše - prav isti šmoren je...

Ne ni isti šmoren. Si ravno sam podal zelo lep primer, ki to dokazuje:

Spet en udarec po 'Open Source-u' in bajeslovni 'višji varnosti':
...
GCHQ algorithm open to surveillance - BBC ...

Uhm... nee? To ni "udarec" po odprti kodi, temveč živ primer, kako dobro lahko odprta koda deluje.

In a blog, University College London researcher Steven Murdoch said the encryption process was vulnerable.

Neodvisen raziskovalec s priznane univerze je našel pomanjkljivosti v GCHQ-jevem procesu enkripcije. To je lahko storil zato, ker je... koda odprta in jo je lahko pregledal. Točno to, kar ti praviš, da se "ne dogaja", se ti je pred očmi zgodilo.

Lej, saj razumem, toliko si se zapičil v ta svoj sveti prav, da ni dokaza, ki bi te prepričal v potencialno koristnost odprte kode. Še ko sam pred lastnimi očmi vidiš primer, da je odprto kodo nekdo pregledal in našel precej važno pomanjkljivost, tega nočeš videti.

Lahko se torej strinjamo, da se ne strinjamo. Hvala bogu, da se vsak ne strinja s vsakim, to je konec koncev gonilo napredka.

SeMiNeSanja ::

@Ales - Še vedno ne kapiraš poante. Če tisti profesor nebi slučajno odkril backdoor, bi zadeva lahko še leta strašila naokoli. Izjeme potrjujejo pravilo. Face it!

In res ne vem, kakšne linke bi ti rad videl, da naj ti jih napopam, saj je dovolj, da se prebere tvoje poste in tiste od Jype-a - oba trdita, kako je OpenSource 'Über Alles' in tudi pod razno nočeta priznat, da mehanizmi 'pregledovanja' niti približno ne delujejo tako, kot to propagirate 'verniki'.

KER ne delujejo, se pač moramo sprijazniti, da nismo nič bolj varni, če uporabljamo OpenSource ali zaprto kodo.

In reci karkoli hočeš: Linux JE obskuren v primerjavi z Windows-i!
Pa ne se zdaj vaditi ven na Android, ki je spet ena svoja lastna obskurnost, za katero se ve, da ima več lukenj kot krp, ker 'krpe' preprosto ne pridejo do uporabnikov.

MrStein ::

Seveda je OS bolj varen. Zaprtokoden SW sploh ne preiskujejo. (že če to omeniš, te brišejo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales ::

SeMiNeSanja je izjavil:

Izjeme potrjujejo pravilo. Face it!

Najprej novico označiš kot udarec po odprti kodi, zdaj pa je že postala izjema, ki potrjuje pravilo...

Še več "izjem" bo najbrž še močneje potrdilo "pravilo"...

In res ne vem, kakšne linke bi ti rad videl, da naj ti jih napopam, saj je dovolj, da se prebere tvoje poste in tiste od Jype-a - oba trdita, kako je OpenSource 'Über Alles'

"Über Alles", "brezmadežen", "neranljiv"... vse to "nekdo" "nekje" trdi... aja, zdaj sem to že kar jaz..! Uau. Ampak linkov na te moje izjave pa še kar ni.

In reci karkoli hočeš: Linux JE obskuren v primerjavi z Windows-i!
Pa ne se zdaj vaditi ven na Android, ki je spet ena svoja lastna obskurnost

"Security through obscurity" je specifičen izraz, ki označuje določen vidik pristopa k varnosti kode. Pogooglaj. Če nekdo reče, da je Linux zagovornik security through obscurity pristopa k varnosti je to ekvivalent tega, da bi nekdo stal pred belo steno in vsem razlagal, da je črna.

V to, koliko je Windows in koliko Linux naprav, pa res nima smisla zahajati. Samo še to manjka. :P

MrStein je izjavil:

Zaprtokoden SW sploh ne preiskujejo. (že če to omeniš, te brišejo)

Da zaprtokodni projekti nimajo auditov, itd.... trdi kje kdo...? Nekje nekdo, kak zagovornik odprte kode, sigurno... zih mora bit kje...

SeMiNeSanja ::

@Ales - vzemi v roke angleško-angleški slovar in se poduči, kaj pomeni 'obscurity'.

Kot naslednje pa razčisti pri sebi, kaj pravzaprav sploh želiš povedati - nekako mi deluje, da skušaš negirat, kar napišem, ampak na koncu še sam ne veš, kaj si pravzaprav negiral oz. potrdil.

b3D_950 ::

Še mal pa boste odkril toplo vodo.
Zdaj ko je mir, jemo samo krompir.

Ales ::

SeMiNeSanja je izjavil:

@Ales - vzemi v roke angleško-angleški slovar in se poduči, kaj pomeni 'obscurity'.

Si si vsaj pogooglal kaj je "security through obscurity" in zakaj Linux *ni* predstavnik tega pristopa k varnosti kode?

Kot naslednje pa razčisti pri sebi, kaj pravzaprav sploh želiš povedati - nekako mi deluje, da skušaš negirat, kar napišem, ampak na koncu še sam ne veš, kaj si pravzaprav negiral oz. potrdil.

Haha. Ta je dobra. Najbrž leti na:

Najprej novico označiš kot udarec po odprti kodi, zdaj pa je že postala izjema, ki potrjuje pravilo...

Še več "izjem" bo najbrž še močneje potrdilo "pravilo"...

...a za sarkazem si že kdaj slišal? Da te ne bom še jaz pošiljal po slovar.

SeMiNeSanja ::

Od kje ti ideja, da se 'security through obscurity' nanaša zgolj na programersko kodo?

Ales ::

Brez zamere, mislim, da se moram strinjati z rb750... prežvečili smo temo podolgem in počez, oz. vsaj jaz. Se tipkamo ob naslednji udarni novici. :)

SeMiNeSanja ::

Ker je exploit 'Open Source', bo še zanimivo, ko si ga bo zvlekel dol vsakdo, ki ima shell account na kakšnem Linux sistemu in (najmanj) sprobal, če res deluje.

Me pa skrbi za Android sisteme, ki ne bodo nikoli videli kakšnega popravka za to ranljivost. Kaj ti koristi, če app-om kvazi prepoveš početi to in ono - app pa si sam pridobi root access in počne kar mu (oz. avtorju) je volja?
Koliko je Android uporabnikov, ki se jim tudi približno ne sanja, da jim v žepu tiketaka tempirana bomba?

Če stvar pogledaš še z vidika BYOD in pomisliš, da se bodo takšne ranljive naprave povezovale na omrežja podjetij, pogosto popolnoma brez vsakega nadzora, potem zadeva postaja počasi že strašljiva.
Kdor danes ne filtrira promet iz wireless omrežja na katerega se povezujejo zaposleni, naj začne resno razmišljati tudi o tem!

jype ::

SeMiNeSanja> Koliko je Android uporabnikov, ki se jim tudi približno ne sanja, da jim v žepu tiketaka tempirana bomba?

Verjetno zaupajo proizvajalcu, kar Android po tvojih besedah takoj naredi popolnoma varen.

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> Koliko je Android uporabnikov, ki se jim tudi približno ne sanja, da jim v žepu tiketaka tempirana bomba?

Verjetno zaupajo proizvajalcu, kar Android po tvojih besedah takoj naredi popolnoma varen.

Najprej moraš vedti komu, kdaj in zakaj zaupati.

Mogoče lahko zaupaš Googlu, ki se še nekako trudi, da uporabnikom zagotovi varno platformo, padejo pa na izpitu zaupanja proizvajalci mobilnih telefonov in mobilni operaterji, ki popravkov ne spravijo do svojih kupcev.

Skratka ne poenostavljaj zadev tako grdo. Koneckoncev pa moraš tudi sam nekaj znati, da ne nasedeš kar ta prvemu šarlatanu. Predvidevam, da tudi nebi pripeljal svojega bicikla k meni, da ti naštelam špice na kolesih in bremze? Ali bi kar slepo zaupal tabli 'biciklservis', ki bi jo obesil ob cesto?

jype ::

SeMiNeSanja> Najprej moraš vedti komu, kdaj in zakaj zaupati.

Če je koda odprta, potem lahko preveriš. Če ni, potem moraš verjeti marketinškim brošuram.

SeMiNeSanja> Koneckoncev pa moraš tudi sam nekaj znati, da ne nasedeš kar ta prvemu šarlatanu.

Ja, zato pa pravim, da je odprta koda bolj dovzetna za odpravo varnostnih napak in posledično bolj varna.

garamond ::

Da ob teoretičnih argumentih ne pozabimo na dejansko stanje. Miljarda naprav z odprtokodnim OS je trenutno ranljivih, tako bo še mesece proti neskončnosti. Pregled aplikacij za te naprave je minimalen, vsak lahko naloži svojo aplikacijo z exploitom v app store.

Čisto možno, da je OS v kakšnih primerih varnejši, ampak konkretno na Zemlji, 2016, in v povprečju pa to ne drži.

Še sreča, da objavljena koda za exploit rabi vsaj pol ure za izvedbo. To je že nepraktično za telefone.
A parody of extremism is impossible to differentiate from sincere extremism.

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja> Najprej moraš vedti komu, kdaj in zakaj zaupati.

Če je koda odprta, potem lahko preveriš. Če ni, potem moraš verjeti marketinškim brošuram..

Pa daj prosim nehaj že prodajat bullshit!

Povej, kolikokrat si TI preveril celotno kodo Linux kernela. SAMO kernela.

Kaj ti pomaga, če 'lahko', če pa je življenje prekratko, da bi lahko zgolj PREBRAL vso kodo, ki se nahaja v eni tipični Linux distribuciji!
Kaj ti pomaga, če 'lahko' - ampak nisi programer in moraš verjeti Jype-marketingu o oh-tako-varnem OpenSource-u?
Kaj pomaga, če 'lahko', v praksi pa je na miljone Linux sistemov tam zunaj ranljivih z luknjami, ki so že dokazane?
Kaj pomaga, če 'lahko', v praksi pa polovica uporabnikov niti avtomatskega update-a distribucije na Linuxu ne zna zagnati?

Pa daj nehaj prosim že enkrat s tem 'lahko' - ker 99,9% uporabnikom ta 'lahko' ne koristi popolnoma nič! Še prevesti ne znajo izvorno kodo, kaj šele, da bi kaj šarali po njej. Tiste par programerjev, ki pa bi morda lahko še kaj po njej šarali, pa se tega loti izključno takrat, ko naletijo na kakšne težave.

Vse skupaj sloni na zaupanju do avtorje kode in community-ja okoli njih, ki direktno pomaga pri razvoju. 99,9% uporabnikov pa dejansko nima pojma, kdo so ti avtorji in ta 'community'.
Ja, cool, snovalci distribucij tudi kao pregledujejo software. Začuda večino teh resnih ranljivosti ni odkril nobeden od izdajateljev distribucij. Začuda jih ponavadi najdejo neki entuziasti, ki z njimi nimajo popolnoma nobene povezave.

Pa si RES prepričan, da so vse te ranljivosti bile odkrite preko analize izvorne kode? Jaz bi prej predvideval, da se gre za naključna odkritja, ko nekdo nekaj programira, pa zadeva ne deluje, kot bi pričakoval. Šele nato se lotijo zaganjati debugger in gledati, kaj vraga se dejansko dogaja.

Ampak za vraga - nič kaj dosti drugače to ne gre pri zaprti kodi. Razlika je EDINO v tem, da pri OpenSource potem lahko pogledajo še v izvorni kodi, kaj je šlo narobe.

A veš... ta tvoj lahko... ti povem, kako je s tem....

Lahko mi plačaš 14 dni počitnic na Havajih, all inclusive (bom skromen).
Pa mi jih boš?

SeMiNeSanja ::

Pa še ena stvar je pri temu 'lahko' in tako ohoho-varnem OpenSource-u, o kateri se ne govori:

KER je izvorna koda na voljo, se lahko nekemu Jype-u enega dne zazdi, da mu delodajalec ne plačuje toliko, kot bi si zaslužil.
V izvorno kodo vgradi nekaj svojih backdoor-ov, zadevo prevede in jo namesti na računalnikih strank podjetja. Pri tem zadevo tako zakamuflira, da se je vse skupaj sposobno izogniti tudi kakšni posodobitvi sistema.

Backdoor ne bo odkril noben AV program. Lahko živi leta in leta na računalnikih in pobira gesla in dokumente uporabnikov. Lahko je pravi trojanec, ki ga ne bo odkril noben AV software.

Ker je vse skupaj bazirano na izvorni kodi operacijskega sistema in njen sestavni del ima lahko najvišje sistemske privilegije. Pa odkrij zadevo, če jo moreš!

V zaprtokodne sisteme je kljub temu malo težje, da bi kar vsak Jype lahko nekaj po svoje vgrajeval, pa da bi se to lahko ognilo preverjanjem konsistence sistema.

Kaj ti na koncu pomaga, če si NSA lahko kupi 100 Jype-ov, ne da bi se jim to poznalo na proračunu?

Pa ne mi nakladat, da kaj takega ni možno, ker imate kao neke kontrole. Še vse kaj hujšega so že ušpičili, ob bistveno bolj ostrih kontrolah, kot jih imajo slovenske programerske hiše.

Kje je torej tista bajeslovna varnost odprte koge za mene, končnega uporabnika, če lahko vsak, ki ima 5 min časa, vanjo nekaj doda?

Zgodovina sprememb…

1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivost v izvedbi VPN v Linuxu in Unixu

Oddelek: Novice / Varnost
245295 (3586) MrStein
»

Hude ranljivosti v Symantecovi programski opremi

Oddelek: Novice / Varnost
194934 (2767) stara mama
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5120838 (16251) MrStein
»

Svež popravek za od mrtvih obujen Windows XP (strani: 1 2 )

Oddelek: Novice / Varnost
9440899 (35557) MrStein
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
305379 (4007) riba1122

Več podobnih tem