»

Začenja se revizija kode OpenSSL

Slo-Tech - Začenja se največja revizija odprte kode v zgodovini, v sklopu katere bodo pregledali 447.247 vrstic kode v 14 programskih jezikih, ki sestavljajo aktualno verzijo OpenSSL. Projekt, ki so ga napovedali že lani, se začenja skoraj leto dni po odkritju hude ranljivosti heartbleed. Zaradi lanskih dogodkov se je začel tudi razvoj razvejitve (fork) LibreSSL ter Googlovega BoringSSL. Številni analitiki sicer menijo, da je revizija kode OpenSSL nepotrebno zapravljanje časa in da bi bilo bolje vse skupaj napisati na novo - torej investirati v LibreSSL - a CII vztrajajo, da je revizija kode pomembna. Dodajajo, da počno še marsikaj drugega, vse v želji poskrbeti, da bo infrastrukturno pomembna odprta koda brez ranljivosti.

V Core...

33 komentarjev

LibreSSL za zdaj še nevaren

Ars Technica - LibreSSL, ki je nastal iz OpenSSL s čiščenjem kode in odstranjevanjem nepotrebnih funkcionalnosti, je prilezel do verzije 2.0.0, ki pa je imenu navkljub še vedno nedokončana. Toda pokazalo se je, da je odstranjevanje funkcionalnosti OpenSSL dvorezen meč, saj je LibreSSL v trenutni verziji v nekaterih pogledih nevarnejši od predhodnika.

Težave tičijo v generatorju psevdonaključnih števil (PRNG), ki je pri šifriranju izjemno pomemben. Algoritem Dual EC DRBG za tvorjenje psevdonaključnih števil je na primer imel ranljivost, ki jo je NSA izkoriščala za prisluškovanje. Pregled kode LibreSSL je pokazal, da ima ta pomanjkljiv PRNG.

Zgodi se namreč lahko, da začne PRNG vračati ista naključna števila. To se lahko primeri, kadar ima več inačic procesa v Linuxu isto številko PID. Linux...

17 komentarjev

Iz OpenSSL tudi BoringSSL

Slo-Tech - Dva meseca po najavi paketa LibreSSL, ki nadomešča OpenSSL oziroma predstavlja razvejitev (fork), bomo dobili še tretjo varianto. Google je najavil BoringSSL, ki predstavlja Googlovo lastno inačico.

Spomnimo, da je plaz vprašanj o zanesljivosti OpenSSL-a in njegove alternative verzije sprožila ranljivost Heartbleed, ki je od marca leta 2012 do letošnjega leta omogočala pridobitev neposrednega dostopa do pomnilnika v strežniku in razkritje podatkov v njem, vključno s šifrirnimi ključi. To je poleg žolčnih debat sprožilo nastanek LibreSSL in zaposlitev večjega števila razvijalcev in vzdrževalcev "starega" OpenSSL. Sedaj pa prihaja še Googlov BoringSSL.

Google pravi, da BoringSSL ne bo povzročal težav v trenutnem razmerju moči. Še vedno bodo finančno podpirali Core Infrastructure...

15 komentarjev

Dodatni razvijalci in pregled kode OpenSSL-a

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Slo-Tech - Fundacija Linux je napovedala, da bo financirala temeljit pregled kode OpenSSL in zaposlitev dveh razvijalcev s polnim delovnim časom, v kar jih je prepričal odkrit hrošč Heartbleed. Čeprav trenutno že teče projekt LibreSSL, v sklopu katerega pripravljajo vitkejše in preverjene knjižnice, je tudi razvoj OpenSSL prav tako pomemben, zlasti ker LibreSSL ne bo podpiral vseh funkcionalnosti.

Doslej je bil OpenSSL kadrovsko in predvsem finančno zelo podhranjen, kar se je odrazilo tudi na kakovosti kode. Zato je...

30 komentarjev

Del OpenSSL bo postal LibreSSL

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

ZDNet - Ekipa, ki razvija operacijski sistem OpenBSD, je začel ločen razvoj razvejitve iz OpenSSL (fork), ki se bo imenoval LibreSSL. Že dlje časa je znano, da je OpenSSL dokaj okoren in da vsebuje precej kode, ki so jo razvijalci že dlje časa nameravali odstraniti, pa tega niso storili. Ranljivost heartbleed, ki so jo nedavno odkrili v OpenSSL, pa je pospešila načrte o temeljiti prenovi. To so razlogi, da dobivamo LibreSSL.

LibreSSL bo tako očiščen, popravljen in bolj vitek OpenSSL, pojasnjuje Theo de Raadt, vodja...

16 komentarjev

Ali je NSA izkoriščala Heartbleed?

Bloomberg - Ta teden je bila glavna varnostna novica odkritje ranljivosti Heartbleed v OpenSSL 1.0.1, ki je skorajda dve leti neopazno ždela v kodi in omogočala pridobitev vsebine strežnikovega pomnilnika. Ni znano, ali je ranljivost kdo izkoriščal, a Bloomberg trdi, da jo je vsaj ameriška NSA.

NSA naj bi za ranljivost vedela od samega nastanka in jo tudi aktivno izkoriščala, so zapisali, sklicujoč se na podatke dveh neodvisnih virov blizu NSA. Da bi jo lahko karseda dolgo izkoriščali, o njenem obstoju niso obvestili nikogar. Z uporabo NSA so pridobivali gesla, certifikate in drugo občutljivo...

8 komentarjev

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Ars Technica - Letos ni ravno najboljše leto za varno spletno komunikacijo, še posebej ne za dvojček SSL/TLS. Konec februarja smo lahko brali o nemarni kodi za preverjanje pristnosti strežniških certifikatov v Applovem iOS/OS X, še ne dva tedna zatem pa o kar 9 let stari podobni luknji v odprtokodni knjižnici GnuTLS. Malo poenostavljeno rečeno je kazalo, da prav nihče več ne zna pravilno preveriti pristnosti strežniške strani komunikacije.

Zdaj smo dobili še eno luknjo, tokrat na strežniški strani. Pomanjkljiva...

79 komentarjev

DARPA prenehala sponzorirati odprt projekt

Linux Today - Ameriška vojaška raziskovačna agencija DARPA se je odločila, da v prihodnje ne bo več investirala v razvoj varnega, prostega operacijskega sistema OpenBSD. Razlog za nenadno odločitev je prispevek enega ključnih razvijalcev, Thea de Raadta, v The Globe and Mail of Toronto, kjer naj bi omenjeni programer izrazil svoje nasprotovanje vojni.

Sredstva v višini 2,3 milijona USD so bila namenjena varnostnim izboljšavam sistema OpenBSD. Po besedah de Raadta je bilo od leta 2001 porabljenih 85 odstotkov denarja, od tega približno 1 milijon za plače razvijalcev OpenBSD in pol milijona za splavitev projekta OpenSSL, ki se uporablja pri šifriranju podatkov. DARPA je sicer znana predvsem po razvoju prvega omrežja za vojaške namene (ARPANet), ki se je nato prelevil v internet. Klik!

3 komentarji