Je FBI podtaknil stranska vrata v OpenBSD?

denial je 16. dec 2010 ob 21:46 izjavil:

Jaz se strinjam s tem, da je to, da je koda odprta kao boljše za varnost navaden bullshit. Mislim, teoretično je to super, odlično. In je fio, da ta možnost obstaja. Dejstvo je pa, da v praksi le malo ljudi res gleda to odprto kodo.

Holy shit! Can't believe I hear this from a FOSS guy. :D Kapo dol, Matthai.

Pa saj to jaz že nekaj časa govorim. Med drugim tudi na predavanjih.

Cold1 je 16. dec 2010 ob 22:02 izjavil:

Windows versus Linux flamewari bodo najbržda potihnili tja do sredine tega desetletja ko se bo sesul še Canonical in bo Desktop Linux dokončno prepoznan kot pipedream.

Ali pa bo delež Wintendo padel pod 50%...

Kaj je lažeje & hitrejše: pregledovati source v C-ju ali v assemblyju ?

Za laičnega opazovalca je lažje pregledovati bolj high level kodo, ker je khm v manjšem kosu zajetih več semantičnih podatkov, ampak kot je rekel denial: zagrizen napadalec bo poskušal poiskati napake tudi če bo moral testirati po principu "črne skatle" in gledati kaj program dela ali pa se prebijati čez strojno kodo in se po možnosti ukvarjati še z raznimi antidebugging triki.

Kar se tiče varnosti je open ali pa closed source pomoje približno enako in upam, da se bo debata o tem kaj je "bolje", kar je vedno zelo subjektivno, čim prej nehala. Če se proizvajalec odloči vgraditi backdoor, ga je pri obeh razmeroma težko najti. Je pa dobro, da je to narejeno tako, da proizvajalec vse skupaj lahko zanika. Npr. kot nek bug, ne kot dodaten skrit administratorski uporabnik, kar lahko proizvajalec težje zagovarja (v poštev pride le, da je to zaradi podpore ali kaj podobnega).

Wright je precej samozavestno zanikal obtožbe, tako da bi pričakoval, da res nima nič z vsem skupaj ali pa, da je prepričan v to, da backdoora sigurno ne bodo našli. Po tem koliko časa je trajalo za odkritje tistega Debian OpenSSL fiaska, ki je bil, kolikor sem seznanjen, povzročen po pomoti, sem precej prepričan, da je kakšna namerna "statistična fora" še veliko težja za odkrit in ima najbrž prav. Poleg tega se tu zelo hitro lahko zanika namernost.

Security audit je ponavadi precej črno/bel: to je exploitable, to ni, tukaj je slab crypto, tukaj ni. Če bo le za del ključa entropija malo slabša in bo npr. vse skupaj mogoče hitro bruteforcati na vladnem superračunalniku, to prej ne bi bilo dovolj senzionalistično in se tudi tista peščica ljudi, ki bi napako mogoče opazila, ne bi ukvarjala s teoretično možnostjo exploitanja. Vse skupaj bi se dalo objaviti mogoče le v akademskih krogih, za širše ljudstvo pa ne bi bilo zanimivo, ker navsezadnje ne bi bil nihče "prizadet". Zdaj bo, če se kaj najde, vsaj kdo špekuliral o tem ali je to povezano z FBI backdoorom. Dokazati se pa vsega skupaj, če na uradu le niso čisto nesposobni, sigurno ne bo dalo.

There you have it

Be sure to check the integrity verifier for packets that didn't have it done in hardware: KLIK.

Introduced in 1.63, patched in 1.75 (patch time: 1 year): diff.

Consequences: all ESP authentication succeeded if no crypto hardware found. Not considered security bug therefore no security advisory released.

Sedaj je treba sam še FBI nekako postavit v zgodbo :D

cryptozaver je 17. dec 2010 ob 09:46 izjavil:

Vsaj možnost imajo(mo)

Kot bi rekel, da imamo airbage in jih (skoraj) nikoli ne uporabljamo...

Heh, zaenkrat še nisem imel težav z branjem kode v Windowsih. Mickeno je tecno, ce je
program packan ampak to zahteva samo malo vec znanja. Aja... znanje je torej problem!
Torej, ker ne znamo asemblerja hocemo source in čeprav pa se nam sanja ne o matematiki
vendar bomo ker imamo sourco kodo razumeli kje kriptografski algoritem pusca bit informacije
na 100k podatkov... ne me smejat :D Vse skupaj je ena in isto sranje, open source ali ne
zadeva je iz stališča varnosti enaka. Ves čas jamrate čez varnost Windowov in ne glede na
to se pojavljajo exploiti na netu - verjetno so avtorji imeli dostop do sourcov, mar ne?

Cryptozaver... Ena cisto za hec. Bos rekel, da ves kaj naredi tale koda? (in še vec zanimivosti na ioccc.org)

http://www.de.ioccc.org/1998/tomtorfs.c

Grumf je 17. dec 2010 ob 10:23 izjavil:

Cryptozaver... Ena cisto za hec. Bos rekel, da ves kaj naredi tale koda? (in še vec zanimivosti na ioccc.org)

http://www.de.ioccc.org/1998/tomtorfs.c

1. Pokaži mi EN paket na svoji mašini, ki ga dejanjsko uporabljaš, ki je scompilan iz podobno berljive kode.

2. Tudi taka koda ni bistveno manj berljiva od dissasemblane kode.

3. Za njen prevod v bolj berljivo obliko ne potrebuješ nič bolj sofisticiranih orodij od tistih, ki jihg rabiš za reverse-engineering binary blobov. Prej nasprotno.

4. Imaš kup primerov, kjer sourcea niso sprejeli v repository ker ni ustrezal kozmetičnim zahtevam. En tak banalen primer je recimo Reiser/4.
Maš kak podoben primer za čisti closed-source binary ?

Zagovorniki zaprte kode pravijo, da je njena analiza pravzaprav enako dostopna kot analiza sourcea, ker pač ni načelno nepremagljivih tehničnih težav.

To je tako kot če bi domače stanovanje odklepal in zaklepal z vlomilskim orodjem in pajserjem namesto s ključem in to upravičeval s tem da "ker se pač da, je v bistvu enakovredno ključu". Ne glede na to, kar si misli kdo o cilindričnih vložkih, je to početje trapasto.

To še ne pomeni, da je varnostni vložek brez vrednosti in da je stanovanje enako varno, če je zaklenjeno ali pa ne, ker vdreti se pač itak da.

Ravno tako nepomembno, če so vrata na prometni točki, ki je pogosto izpostavljena pogledu mimoidočih.

Če greš gledat nasvete strokovnjakov o izbiri materialov in rešitev za zavarovanje prostorov, je ravno pogled javnosti bistven element pri izbiri vrat in vložka.

Bistveno težje je vlamljat na stopnišču kot pa na ograjenem dvorišču, kjer lahko napadaš sistem v miru in zakrit.

Ravno tako nepomembno, če so vrata na prometni točki, ki je pogosto izpostavljena pogledu mimoidočih.

Okna so na zelo prometni točki. Vsakdo ki gre mimo bi jih rad razbil da bo le izpadel najjači v vasi :) Res se skozi njih ne vidi v notranjost, vendar po drugi strani... kaj ti bodo odprta okna če si slep.

Bistveno težje je vlamljat na stopnišču kot pa na ograjenem dvorišču, kjer lahko napadaš sistem v miru in zakrit.

Drži. V stopnišču zna biti zajebano, vendar če si lastnik stanovanja in vanj vstopaš s pajserjem te noben sosed ne bo gnavil.

Debata se premika v zidarske vode. Not good...

denial je 17. dec 2010 ob 01:12 izjavil:

There you have it

Be sure to check the integrity verifier for packets that didn't have it done in hardware: KLIK.

Introduced in 1.63, patched in 1.75 (patch time: 1 year): diff.

Consequences: all ESP authentication succeeded if no crypto hardware found. Not considered security bug therefore no security advisory released.

To je torej eden, kje je pa drugi?

OpenBSD project head Theo de Raadt told iTWire: "We've been auditing since the mail came in! We have already found two bugs in our cryptographic code. We are assessing the impact. We are also assessing the 'archeological' aspects of this.."

Sedaj je treba sam še FBI nekako postavit v zgodbo :D

"Until 2 days ago I had no idea that both Jason and Angelos (Keromytis) in the past did work for a company that does that business," De Raadt said. "And it is true, wow, that company really was in that business! Now they (the company) belong to Verizon.

"We found out that Angelos (our ipsec developer) also did a period of contract work for that company. The mail did say it wasn't just Jason."

Vir

Diff za kakšne druge programske platforme, ki uporabljajo IPsec je že na voljo?

info: Microsoft je podjetje, ki ima zaposlenih največ strokovnjakov za varnost. Pa je čas od 0day exploita do popravka vedno daljši.

Mogoče pa samo opazil nisi.

O.

MrStein je 16. dec 2010 ob 17:53 izjavil:

Poldi112 je 16. dec 2010 ob 13:23 izjavil:

Je pa ena pomembna razlika - pri odprti kodi lahko to preverimo in pričakujem da bo v par dneh to razčiščeno. Za razliko od zaprtokodnih rešitev, kjer lahko samo zaupaš besedi ponudnika programske opreme.

V par dneh razčiščeno?
OK, zdaj je že drugi dan, če prav štejem. Se je že kaj razčistilo?

14 dni. Se je kaj razčistilo?

Vir?

Verjetno baje nič ni zaenkrat. Ful šur, sto posto, torej? ;)
Ja, upajmo, da res ne.

Ne ne, MrSteinu moras verjet razen v skrajnem rpimeru da kdo ne napise knjige z naslovom ki zanika njegovo trditev. Ce je naslov dvoumen to ne steje vec.

Eni imajo spomin boljsi od zlate ribice in se spomnijo kaj so sami napisali napisali par postov nazaj, drugi pa apc rabijo citate (za to kar so sami napisali). Go figure.

MrStein je 31. dec 2010 ob 19:40 izjavil:

Eni znajo podpreti svoje trditve, eni pa mutijo.

Indeed.

Se vedno samo trollas bi clovek pricakoval da ti bo na dveh straneh ratalo kej uporabnega napisat. Meh. Najbljs da gres nazaj po svojo skalo in se malo izpilis svoj hobi, potem pa le urno nazaj v clopvestvo in pokazi da si najboljsi troll po mostom!!