» »

Poiskus vgraditve stranskih vrat v Linux

Poiskus vgraditve stranskih vrat v Linux

SecurityFocus Online - Novica je sicer že malce starejša, vendar vseeno močno zanimiva. Šestega novembra je namreč Security Focus poročal, da je Larry McVoy iz podjetja BitMover ob rutinskem preverjanju integritete izvornih datotek linuxovega jedra 2.6 zaznal, da je v eni izmed datotek prišlo do spremembe.
Ker mu ni bilo povsem jasno za kaj gre, je o tem obvestil skupnost razvijalcev Linuxa, ki pa so hitro ugotovili, da gre za vgrajena stranska vrata (backdoor).

Glede na to, da bi spremenjena programska koda lahko omogočila root dostop do kateregakoli računalnika z Linux jedrom 2.6 (ki še ni uradno izšlo), je očitno, da je nekdo natančno vedel kaj dela. Predvsem zato, ker vse skupaj izgleda kot naključen programski hrošč, ki bi ga brez striktnega upoštevanja varnostnih preverjanj hitro lahko spregledali. V špekulacijah, kdo bi bil ta nekdo se precej omenja NSA (National Security Agency), ki ima gotovo interes za takšna stranska vrata, saj Linux pridobiva čedalje večji tržni delež na področju operacijskih sistemov.

Vsekakor se iz zgodbe lahko naučimo, da je varnost trajen proces, kar pomeni, da moramo varnostno kulturo gojiti in razvijati neprestano. Pa tudi to, da so odprti sistemi, ki so izpostavljeni javnemu preverjanju, ravno zaradi tega bolj odporni na podobne umazane trike. V Linuxovem jedru so ravno zaradi dostopnosti izvorne kode odkrili stranska vrata. Kako pa je z Okni?

19 komentarjev

mchaber ::

>Kako pa je z Okni?
:| :| :|
.

Dr_M ::

hehe...zacel se je>:D >:D
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Mate ::

Okna so pa tako ali tako prozorna, pa se odpreti se jih da. Vrat potemtakem sploh ne potrebujes, kaj sele stranska.

flipflop ::

Ja pa sej je že dolgo jasno da ne znajo več na S-T pisat objektivnih novic,Linux že vnaprej vedno zmaga.|O

cekr ::

Če mislite, da v Linuxu ni nobenih stranskih vrat se hudo motite!
Sinclair ZX Spectrum [Zilog Z80A - 3.5 MHz, 48kB, dvojni kasetofon,
TV-OUT, radirke, Sinclair-Basic], Sinclair ZX-81 [Z80A, 3.25MHZ, 1kB]

Dr_M ::

ce so stranska vrata v windowsih, jih lahko uporablja samo par ljudi, ce je v linuxu, je to dostopno vsem :)
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Gandalfar ::

cekr: bi morda argumentiral tvojo izjavo? :)

Gandalfar ::

flipflop: novica iz Linux sveta govori o opensource problematiki in o tem katere probleme resuje in kaksne ime. Kaj konkretno te moti pri objektivnosti?

CCfly ::

ce so stranska vrata v windowsih, jih lahko uporablja samo par ljudi, ce je v linuxu, je to dostopno vsem


S tistih par ljudi misliš na vse nadebudne pisatelje virusov.

Skoraj nemogoče je vpisati novo kodo v program, ne da bi to ostali programerji opazili. Program za upravljanje z izvedbami javi vsako spremembo. Torej je bil ta poskus bolj patetičen. Če bi hotel neopazno vgraditi vrata bi moral ne samo popraviti kodo v glavnem repozitoriju, temveč tudi prepričati nekaj 10.000 programerjev naj te spremembe ne opazijo. Morda kakšna metoda masovne hipnoze,

swar ::

Ne pozabit da gates bere vase majle ponoci ko vi spite in imate winse :D

hruske ::

Mene mot, da so omenjena OKNA konkretno in ne splošno zaprta koda. A OS X pa ni zaprt al kaj?

Road Runner ::

no da še mal provuceram... >:D

OpenBSD. Only one remote hole in the default install, in more than 7 years!

Road Runner ::

aja, mk-klavz, kar se OS Xa tiče, samo jedro (Darwin) je opensource. klik

flipflop ::

Gandalfar,moti me to namigovanje avtorjev takšnih novic ki vedno vpletajo winse potem se pa brišejo komenarji češ da je spet flame war.

BSD-jas ::

A se ne reče poskus?

poweroff ::

Zakaj sem zraven vtaknil tudi Windowze... preprosto... ker je M$ v svoje programe ze vgrajeval skrite tehnologije. Recimo GUID v office in tehnologijo za beleženje pesmi v WMPlayer. To so jim dokazali. Ostalih stvari pa še ne - ker pač njihova koda ni open source. Got the point?

andrej ::

GUIDE v office je bil res. o tem ni debate. tisto belezenje pesmi v wmplayerju pa je prenapinjeno. gre samo za predpomnenje pesmi, kar pomeni, da wmplayer downloada imena pesmi in jih shrani za naslednjo igranje, da ni potrebno gledat track 01, track 02, itd...

Cetudi koda NI open source to se ne pomeni, da ni mozno dobit sourca. Veliko podjetij, ki si z njim lahko kaj zacne ga ima. Pri linuxu je pac tak, da ga TEORETICNO lahko vsak vidi. Realnost pa je drugacna. Koliko Linux uporabnikov je kdaj brskalo po sourcu? Koliko od teh ga jih sploh razume? Skoraj bi si upal trdit, da ima priblizno enako stevilo ljudi (ki si zna z sourcom kaj poces) dostop do windows sourca kot linux sourca. got the point? ;)

Kot se ze veckrat povedal, lahko pride do sourca tudi veliko slovenskih podjetij, vendar kot so mi povedali enostavno NI interesa s strani nasih podjetij.

poweroff ::

OK, andrej... ampak kako naj še zaupam firmi, ki je enkrat dokazano v svoj produkt vgradila skrito tehnologijo? Načeloma nobeni firmi ne morem kar vnaprej zaupati, da ni v svoje produkte česa vgradila, ampak če je nekdo že dokazano storil nekaj takega v preteklosti - potem jim žal zaupam še toliko manj.

Se pa strinjam s tem, da večina Linux userjev sourca nikoli ne pogleda in da tudi ne razume kode. Ampak možnosti so večje kot pri closed source. Poleg tega so Linux programerji veliko bolj heterogeni kot programerji nekega podjetja in je manjša verjetnost, da bodo neko stvar "zatuškali"...

andrej ::

o verjetnosti bi lahko razprabljali. Ze to, da ne nekdo poskusal vgradit backdoor je za razmislit ;) me zanika kaj se bo s tem tipom zgodilo.

Glede guida in Offica pa je to res bla napaka, iz katere se je MS veliko naucil. Zdaj je njihova praksa drugacna - povsod imas disklamerje, kaj se dela s podatki itd, pri aktivaciji pa so tudi naredili kar se je dalo, da uporabnika ni mozno identificirat. pa tudi tisti guid ni bil tak, da bi lahko kar takoj dobil uporabnika ven, ce se ne motim.

nisem pa cisto preprican, da je MS zavestno vgradil to "skrito tehnologijo" samo zato, da bi prisel do uporabnikovih podatkov. Po vsej verjetnosti je bila le stranski produkt nekega drugega featura.

zaupanje v MS je res na zelo nizkem nivoju. po mojem mnjeju predvsem zaradi dezinformacij. Tukaj ne mislim na lazi ampak na napihovanje in predstavljanje dolocenih novosti v slabi luci. Recimo tista finta za Wmplayerjem. to je v bistvu feature, ki ga najdes v cisto vsakem predvajalniku, ampak le MS je tisti grdi. Potem recimo aktivacija. MS NI edini, ki to zahteva, ampak on je dobil levji delec po glavi. da ne govorimo o palladiumu, ki si ga lahko vsak predstavlja po svoje, pa vendar je v javnosti vecinoma prikazan v slabi luci, ceprav se ga noben sploh ni videl na delu. na splosno se mi zdi, da je prevec anti-MS ljudi, ki samo tolcejo po MS-ju ne glede na to kar naredi. vecinoma niti ne razumejo kako deluje ali za kaj se gre pa vendar so prosti, samo zato ker je to naredil MS. Ce bi to naredilo kaksno drugo podjetje se sploh ne bi ozirali... prevec je predsotkov, vsaj po moje...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Wikileaks objavila največjo zbirko internih dokumentov CIE (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
17445900 (39287) Saul Goodman
»

Tri četrtine Linuxove kode napisali profesionalci (strani: 1 2 3 )

Oddelek: Novice / Ostala programska oprema
13612732 (9125) driver_x
»

NSA sodelovala pri razvoju Viste

Oddelek: Novice / Zasebnost
224708 (3456) poweroff
»

Linux in NTFS

Oddelek: Operacijski sistemi
331846 (1299) moj_nick
»

Intervju z Marcelom Tossatijem

Oddelek: Novice / Ostala programska oprema
91937 (1937) coderock

Več podobnih tem