» »

Kritična ranljivost v GnuTLS neodkrita skoraj devet let

Kritična ranljivost v GnuTLS neodkrita skoraj devet let

Slo-Tech - V odprtokodni knjižnici GnuTLS, ki jo številni operacijski sistemi in programi uporabljajo za uporabo TLS in SSL, so odkrili ranljivost, ki omogoča uspešno predložitev lažnih certifikatov. Napaka je zelo podobna ranljivosti v Applovih sistemih iOS in Mac OS X, ki jo je Apple potem sicer popravil.

Ranljivost naj bi bila v kodi prisotna že vse od leta 2005, odkrili pa so jo šele sedaj. Primerjava izvirne in popravljene izvorne kode pokaže, da je luknja posledica napačne uporabe stavka goto. Spomnimo, da je bil v Applovem sistemu problem enkrat preveč ponovljen stavek goto, ki se je zato nekritično izvedel vsakokrat. V primeru GnuTLS pa goto večkrat kliče napačno funkcijo (cleanup namesto fail). Zaradi tega se rutina preverjanja veljavnosti certifikata X.509 ne izvede do konca, kar omogoči, da se kot veljaven in ustrezen certifikat predstavi podpisani certifikat za drugo domeno od obiskane. Vsem uporabnikom zato priporočajo nadgradnjo na verzijo GnuTLS 3.2.12.

To ni prvi problem s knjižnico GnuTLS, saj so na internetu že dlje časa ugotavljali, da je napisana pomanjkljivo. Podobnost te napake z Applovo in časovno ujemanje je zelo zanimivo in omogoča špekulacije, da je prav odkritje Applove ranljivosti povzročilo pregled kode GnuTLS, kjer so odkrili podobno ranljivost.

Postavljajo pa tovrstna odkritja pod vprašaj staro mantro, da je odprta koda varnejša, ker jo lahko vsakdo pregleda, tako da se očitne ranljivosti ne morejo izmuzniti skozi pregled. Vse to je res le, če kodo dejansko več kompetentnih programerjev tudi pregleda. Sicer prav tako lahko skriva neprijetna presenečenja.

134 komentarjev

«
1
2 3

LJ4L ::

Nasmejal me je zadnji stavek. Neprijetna presenečenja :))
LP from LJ

Stikalo ::

Mogoče se pojavi kakšen pogramer, ki je plačan iz strani vlade in "malomarno" napiše kodo?

Brane22 ::

Mislim, da bi moral biti nek ekvivalent ISO standarda, po katerem bi moral vbsak tak projekt vsebovati besedo CRAP-* v imenu, vse dokler ne bi bil ustrezno pretestiran do neke mere, ko bi jo lahko spremenili v UNSTABLE-* itd.

In za te deklaracije bi snovalci tudi materialno odgovarjali.

Se pravi, če stvar naddeklariraš, pa te dobijo, si materialno odgovoren.

darkolord ::

@Brane22, potem bi pa pač vse ostalo CRAP-* in ta oznaka ne bi imela več nobenega pomena.

Brane22 ::

darkolord je izjavil:

@Brane22, potem bi pa pač vse ostalo CRAP-* in ta oznaka ne bi imela več nobenega pomena.


V bistvu bi. Dalo bi ceno delu na open sourceu. Če bi hotel vstaviti tak SW nekam, bi mroal zadovoljevati neke kriterije. Kar bi pomenilo, da bi nekdo moral dati skozi ustrezen brainwork, se izprsiti in podpisati pod garancijo.

Delo bi dobilo ceno. Danes folk samo reče "Ah, saj v tole daš linux ( prvi distro, ki ti pride pod roko), pa je."
Linux je pa ja zastonj. Not pa zadeve, da te srat prime.

darkolord ::

Pač nihče se ne bi upal podpisati pod to. Bi pač imel vse uporabljene programe in knjižnice s prefixom CRAP.

pegasus ::

Včasih se je temu reklo beta.

Danes se lahko zanšaš samo še na majhne elitistične skupnosti, kot je OpenBSD.

Brane22 ::

darkolord je izjavil:

Pač nihče se ne bi upal podpisati pod to. Bi pač imel vse uporabljene programe in knjižnice s prefixom CRAP.


Zakaj ne ? Če imaš nek projekt, ki zahteva to knjižnico in če bi ti zanj kdo plačal, pač opraviš ustrezno delo, prejmeš $$$, se podpišeš in stojiš za tem.

S tem tudi koneckoncev tvoje ime dobi veljavo. Če te ne dobijo z gatami na kolenih, seveda.
In s tem tudi novi projekti, kjer je treba zadeve pregledat in z njimi nov $$$.

darkolord ::

Isto lahko narediš že sedaj - nekdo ti da $$$ za pregled knjižnice, ti mu pa s tem (s pogodbo) garantiraš, da je vse tako, kot mora biti.

Ne rabiš nobenega prefixa.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Brane22 ::

Ampak če bi imel nek tak mehanizem, bi bilo to javno vidno.

Nekdo peti bi lahko to vzel v ozir, ko bi sestavljal kockice zase.

Takrat bi lahko enostavno videl, kateri prefixi mu manjkajo in kje.

Ales ::

Pravljična dežela, kjer ni bugov celo v kodi s tremi predponami !=crap in šestimi kočnicami !=velikicrap, žal ne obstaja. Prav veliko podjetij, ki bi navadnim smrtnikom ponujala miljonske odškodnine ob bugih v brezplačnem (!) ali kupljenem (!!!) softveru tudi ni. In?

Bugi so in bodo. Čim bolj glup bug, tem bolj mastni naslovi novic in tem večji populizem. Ne glede na OS, tako pač je.

En odkrit bug žal tudi ne bo spremenil dejstva, da GnuTLS ni neka cvetka in da se to ve že od prej. OpenSSL ima tudi svojo plejado težav. Kakorkoli, v Fedori npr. ta bug ni imel nobenega vpliva na Firefox, Thunderbird, Evolution, Apache, Nginx, ... Prizadel pa je Mutt, Claws-mail, Empathy, FileZillo, Weechat itd. No, kogar zanima zakaj tako, naj si prebere kaj o razliki med NSS, OpenSSL in GnuTLS...

Hm... možnost man in the middle attacka... Občasno uporabljam npr. FileZillo in Weechat in to bom še naprej, tudi po tem bugu. Sprejemljivo tveganje, zame. Komur ni, pa naj pač uporablja kak drug/večji/manjši/enak crap ;)

p.s.
Kdor uporablja Chrome ali Chromium, naj le čimprej posodobi zadevo, če se še ni sama.

Brane22 ::

Pravljična dežela, kjer ni bugov celo v kodi s tremi predponami !=crap in šestimi kočnicami !=velikicrap, žal ne obstaja. Prav veliko podjetij, ki bi navadnim smrtnikom ponujala miljonske odškodnine ob bugih v brezplačnem (!) ali kupljenem (!!!) softveru tudi ni. In?


In to ima kakšne veze s predlogom ?

Ne rabim nujno milijonskih odškodnin. Bi se pa mogoče ulegla kje kaka ob class-action tožbi za opremo, kjer je nekdo to tlačil v opremo, ki jo je potem drago prodal, pa je nastala škoda.

Pa tudi tožbe ne rabiš nujno za konkretno korist. Dosti je že, da vidiš kaj si kdo upa deklarirati za svojo kodo že ob bežnem spremljanju tovrstnih obljub, ki niso držale.

Saj nit reba da je vse črno belo in da te da dajo na križ za vsako stvar ki si jo napisal. Ampak fajn pa je, če je nek history, kjer se vidi koliko hudih zajebov je v tem, kar si obljubljal.

Že iz tega se da videt, koliko veš o čem govoriš in koliko se da verjet tvoji kodi.

Invictus ::

Kako boste tožili ljudi, ki so vam dali zastonj softver, ki so ga sprogramirali v svojem prostem času?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

LightBit ::

15. Disclaimer of Warranty.

THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY
APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT
HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY
OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO,
THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM
IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF
ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

16. Limitation of Liability.

IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING
WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS
THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY
GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE
USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF
DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD
PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS),
EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF
SUCH DAMAGES.

jype ::

Invictus> Kako boste tožili ljudi, ki so vam dali zastonj softver, ki so ga sprogramirali v svojem prostem času?

Halcom nam je dal zastonj E-Bank?

Cisco nam je dal zastonj Cisco VPN Client in Cisco AnyConnect?

Ne se hecat.

Brane22> Saj nit reba da je vse črno belo in da te da dajo na križ za vsako stvar ki si jo napisal. Ampak fajn pa je, če je nek history, kjer se vidi koliko hudih zajebov je v tem, kar si obljubljal.

To je nepomembno. Bug v knjižnici, kakršna je GnuTLS, ima takšne posledice za varnost celotnega ekosistema, da je vseeno, kako dobro ali slabo je bila knjižnica pregledana v preteklosti (in tole pri RedHatu zagotovo ni bil prvi audit).

Novica> Postavljajo pa tovrstna odkritja pod vprašaj staro mantro, da je odprta koda varnejša, ker jo lahko vsakdo pregleda, tako da se očitne ranljivosti ne morejo izmuzniti skozi pregled. Vse to je res le, če kodo dejansko več kompetentnih programerjev tudi pregleda. Sicer prav tako lahko skriva neprijetna presenečenja.

Ja. Če bi bila GnuTLS zaprta koda, napake tudi ob tem pregledu ne bi našli.

Invictus ::

jype je izjavil:


Cisco nam je dal zastonj Cisco VPN Client in Cisco AnyConnect?

Ne se hecat.

Saj se ne. Še nikoli za to nisem plačal ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Brane22 ::

jype je izjavil:


To je nepomembno. Bug v knjižnici, kakršna je GnuTLS, ima takšne posledice za varnost celotnega ekosistema, da je vseeno, kako dobro ali slabo je bila knjižnica pregledana v preteklosti (in tole pri RedHatu zagotovo ni bil prvi audit).


Ne strinjam se. Ni nepomembno. Neke napake ti vedno uidejo. In ne govorim o tem,d a se na te podatke lahko zaneseš 100%. Dobiš pa neke vhodne podatke,s katerimi lahko delaš naprej.

Če to inteligentno izvedeš, seveda.

jype ::

Ko se pogovarjamo o takem fiasku kot je sprejemanje neveljavnih certifikatov, se pogovoarjamo o metriki, ki ti pove, da bo most čez smrtonosno globoko sotesko v 95% zdržal tvojo težo.

Pri taki dilemi 95% ni dovolj.

Brane22 ::

Ampak 95% je dovolj za štartno točko pri optimizaciji testiranja.

Če imaš velik projekt sestavljen iz veliko kock, je fajn da imaš neko mapo, ki ti lahko da začetni občutek o tem, koliko so videle posamezne kocke testiranja in kaj so dale skozi. In kdo to pravi, koneckoncev.

jype ::

Brane22> Če imaš velik projekt sestavljen iz veliko kock, je fajn da imaš neko mapo, ki ti lahko da začetni občutek o tem, koliko so videle posamezne kocke testiranja in kaj so dale skozi. In kdo to pravi, koneckoncev.

To že imaš, vredno je pa (iz razlogov, ki so danes že zelo očitni) en zmržen pasji drek.

Brane22 ::

Kje imam to ?

Polgejmo recimo glibc. Kaj je v njem testirano in kako ?

Ali recimo pri tistih spremembah mem/str/copy funkcijah v glibc.

Nekaj časa nazaj so bile optimizirane, vendar tako da več ne delajo rpavilno, če se jih nepravilno uporablja za področja, kjer se start in cilj prekrivata.

Kako veš recimo, katere kocke v tvojem mozaiku so bile temu ustrezno prečekirane in pokrpane ?

Zgodovina sprememb…

  • spremenilo: Brane22 ()

jype ::

Brane22> Kako veš recimo, katere kocke v tvojem mozaiku so bile temu ustrezno prečekirane in pokrpane ?

A tebi se zdi, da je RedHat naročil audit zato ker je že vedel, da obstaja ranljivost?

Brane22 ::

A tebi se zdi, da je RedHat naročil audit zato ker je že vedel, da obstaja ranljivost?


Kako to spremeni stvar ?

Moj point je ta, da če bi chckpointe na strukturah, funkcijah in datotekah in podatke o tem kaj kateri pomeni ( recimo funkcionalni test, čekiranje "nevarnih" praks itd itd), bi imel veliko boljšo štartno pozicijo kot brez tega.

Takrat bi lahko lažje optimiziral čekiranje preostalih področij itd. Ni nujno da danim podatkom verjameš koneckoncev. Ampak tudi tu ti lahko pomagajo. Če podjetju ne verjameš, se lahko spustiš skozi področje, ki so ga čekirali namenoma.

jype ::

Brane22> Moj point je ta, da če bi chckpointe na strukturah, funkcijah in datotekah in podatke o tem kaj kateri pomeni ( recimo funkcionalni test, čekiranje "nevarnih" praks itd itd), bi imel veliko boljšo štartno pozicijo kot brez tega.

Ja, ampak to je stvar kompetentnih programerjev. Lahko se kar lotiš dela, IMO.

Brane22> Takrat bi lahko lažje optimiziral čekiranje preostalih področij itd.

Drži.

LightBit ::

Brane22 je izjavil:

Ali recimo pri tistih spremembah mem/str/copy funkcijah v glibc.

Nekaj časa nazaj so bile optimizirane, vendar tako da več ne delajo rpavilno, če se jih nepravilno uporablja za področja, kjer se start in cilj prekrivata.

Zakaj bi morale delati pravilno, če so nepravilno uporabljene?

Jupito ::

Invictus je izjavil:

Kako boste tožili ljudi, ki so vam dali zastonj softver, ki so ga sprogramirali v svojem prostem času?


Ajnfah! A si pozabil, da je tu Podalpistan, kjer je vse možno in vse se da?! :D Izmisliš si nekakšen fantastičen predpis in jim s tem narediš stroške! Potem se ne izplača več delati zastonj, so prisijeni v komercializacijo in jim lahko predpišeš kazni in še tožiš! Juhej!
Ko ne dosežeš svojega namena, si izmisliš neko drugo fantastično pripovedko ala.: "S tem smo pomagali ustvariti pravo konkurenco MS, ki je prej ni bilo in na to smo se lepo navadili!" in se pretvarjaš, da ti je uspelo! :D
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

MrStein ::

MrStein je izjavil:

Taki bug se drugim ne more zgoditi.


Ups!

PS: Kako se je lahko zgodil, če pa je open source?

(ni kaj za dodat)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein> (ni kaj za dodat)

Je - bug so našli pravi ljudje, če bi bil closed source bi ga pa napačni.

no comment ::

jype je izjavil:

MrStein> (ni kaj za dodat)

Je - bug so našli pravi ljudje, če bi bil closed source bi ga pa napačni.

Kje piše, da nepravi ljudje ta bug niso našli že pred skoraj desetletjem?

Poldi112 ::

MrStein je izjavil:

MrStein je izjavil:

Taki bug se drugim ne more zgoditi.


Ups!

PS: Kako se je lahko zgodil, če pa je open source?

(ni kaj za dodat)


Glede na to, da je že to, kar si "dodal" 10x preveč, se bi kar strinjal.

EDIT: prevod za neposvečene: A lahko prosim dežurni krivci nehate svinjat resne teme s svojimi "omg, bug so našli, kako je to mogoče" izpadi?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

zeleni ::


Ja. Če bi bila GnuTLS zaprta koda, napake tudi ob tem pregledu ne bi našli.


Kar je dobro ali slabo?

Dokler je varnostna napaka za katero ne ve nihce in je ne izkorisca, ni tezave.

Devet let so rabili good guyi, da so jo odkrili, kar pa se ne pomeni, da je ni kdo ze leta lepo koristil.

Glugy ::

Če delajo take traparije ne vem zakaj se jim reče programerji. Kvečjemu so pacarji k sam na hitr neki skp sestavjo.

Ales ::

Kje piše, da podoben bug v nekem zaprtokodnem programju nepravi ljudje niso našli že pred desetletjem in ga bodo še deset let mirno uporabljali?

Brane22 je izjavil:

Ne rabim nujno milijonskih odškodnin. Bi se pa mogoče ulegla kje kaka ob class-action tožbi za opremo, kjer je nekdo to tlačil v opremo, ki jo je potem drago prodal, pa je nastala škoda.

Pa tudi tožbe ne rabiš nujno za konkretno korist. Dosti je že, da vidiš kaj si kdo upa deklarirati za svojo kodo že ob bežnem spremljanju tovrstnih obljub, ki niso držale.

Saj nit reba da je vse črno belo in da te da dajo na križ za vsako stvar ki si jo napisal. Ampak fajn pa je, če je nek history, kjer se vidi koliko hudih zajebov je v tem, kar si obljubljal.

Že iz tega se da videt, koliko veš o čem govoriš in koliko se da verjet tvoji kodi.


Halo? Vse našteto imaš v tem trenutku na voljo. Praktično ves odprtokodni softver javno deklarira:

- funkcionalnost
- garancijo
- zgodovino sprememb
- zgodovino popravkov zaradi bugov
- število razvijalcev in zgodovino njihovih prispevkov
- daje vpogled v samo kodo in posledično v njeno kvaliteto.

Imaš popolnoma prav, vse to zagotavlja neko informiranost uporabnika. Kup ljudi prav to vsakodnevno uporablja pri svojih odločitvah.

Glede odškodnine pa - odgovornost uporabnika je, da zase izbere softver, ki zadostuje njegovim potrebam. Pač naj uporabi takega, katerega ponudnik nudi odškodnino v primeru nepričakovanih napak.

Ali pa naj uporabi takega, ki ima predpono crap v imenu. Oz. še bolje, naj ga sam napiše. Bo vsaj iz prve roke vedel, kak crap uporablja. :D

GnuTLS ne nudi odškodninske odgovornosti in nima crap v imenu, torej ne ustreza zahtevam.

Veliko razvijalcev druge programske opreme je z GnuTLS naredilo točno to, ne uporabljajo ga. Iz drugih razlogov sicer, ne zaradi $$$ ali crapa v imenu... Ne trdim, da sta NSS ali OpenSSL kar apriori boljša, ampak:

The NSS software crypto module has been validated five times (1997, 1999, 2002, 2007, and 2010) for conformance to FIPS 140 at Security Levels 1 and 2. NSS was the first open source cryptographic library to receive FIPS 140 validation. The NSS libraries passed the NISCC TLS/SSL and S/MIME test suites (1.6 million test cases of invalid input data). [ 1 ]

As of December 2012, OpenSSL is one of two open source programs to be involved with validation under the FIPS 140-2 computer security standard by the National Institute of Standards and Technology's (NIST) Cryptographic Module Validation Program (CMVP). OpenSSL itself is not validated, but a component called the OpenSSL FIPS Object Module, based on OpenSSL, was created to provide many of the same capabilities. [ 2 ]

jype ::

no comment> Kje piše, da nepravi ljudje ta bug niso našli že pred skoraj desetletjem?

zeleni> Devet let so rabili good guyi, da so jo odkrili, kar pa se ne pomeni, da je ni kdo ze leta lepo koristil.

Če je good guys ne bi našli, bi jo nepridiprav, ki jo morda pozna, še naprej koristil - tako kot koristi tisto, s pomočjo katere se širijo profesionalni virusi, o katerih slo-tech poroča skoraj vsak mesec.

zeleni ::

Se vedno ne vem kaj zelis povedat. Prej si trdil, da so bug nasli pravi, ce bi bila zaprta koda, pa bi ga napacni.

Torej ti predpostavljas, da luknjo v odprti kodi pa naj bo ta tam deset let vedno najdejo dobri ljudje prvi?
Po tvoji logiki ni mogoce, da bi v desetih letih obstoja luknje kdo to prej koristil?

Res? Ni mogoce?

Ti to resno ali trolas?

jype ::

zeleni> Torej ti predpostavljas

Jaz pravim, da pri odprti kodi dobri ljudje luknje najdejo prej, kot jih najdejo dobri ljudje pri zaprti kodi.

no comment ::

jype je izjavil:

Jaz pravim, da pri odprti kodi dobri ljudje luknje najdejo prej, kot jih najdejo dobri ljudje pri zaprti kodi.

To pomeni tudi, da slabi ljudje pri odprti kodi najdejo luknje prej kot pri zaprti kodi.

In glede na to, da dobri ljudje pri odprti kodi potrebujejo desetletje (če se planeti ugodno poravnajo), je to precej slaba reklama, imho.

Zgodovina sprememb…

Looooooka ::

Vidte ne.
Tipična mentaliteta zastonjkarjev.
Povsod bi napadali plačljive rešitve, ki za svoje napake materialno odgovarjajo, se vmes drli, kako so dragi in oh in sploh grozni...ko pa nekdo odkrije tako malomarnost po vseh "revizijah"(kao kodo pregledalo že 5000 ljudi in je zato bolj varna kot tista, ki jo ima čez zaprta skupina razvijalcev) potem pa takoj v obrambo.
Zakaj bi plačali saj je "zastonj".
Mi je čist jasno kaj hoče Brane22 povedat...vprašanje je zolj zakaj se delate gluhe.
Jaz pravim, da pri odprti kodi dobri ljudje luknje najdejo prej, kot jih najdejo dobri ljudje pri zaprti kodi.

V novici, kjer napake 9 let niso našli.
Če bi bil žleht bi lahko rekel, da pri zaprti mogoče niti napadalci take napake ne bi našli v tem primeru pa lahko samo upamo, da je niso.
Ampak a ne se bom rajš obesil na to, da nihče ni pripravljen odgovarjat za šalabajzarstvo, ker je "krivda" razpršena na 1000 anonimnežev.
Pa vseeno vam ostane "sej maš source...zakaj nisi pogledal".
Iz istega razloga zaradi katerega očitno tudi razvijalci niso odkrili napake. Ker niso bili plačani in ker se niso imeli česa bati.

PaX_MaN ::

Povsod bi napadali plačljive rešitve, ki za svoje napake materialno odgovarjajo

Oni kaj?
V novici, kjer napake 9 let niso našli.

no comment je izjavil:

jype je izjavil:

Jaz pravim, da pri odprti kodi dobri ljudje luknje najdejo prej, kot jih najdejo dobri ljudje pri zaprti kodi.

To pomeni tudi, da slabi ljudje pri odprti kodi najdejo luknje prej kot pri zaprti kodi.

In glede na to, da dobri ljudje pri odprti kodi potrebujejo desetletje (če se planeti ugodno poravnajo), je to precej slaba reklama, imho.


17 let za zaprto/plačljivo kodo.

SeMiNeSanja ::

jype je izjavil:

zeleni> Torej ti predpostavljas

Jaz pravim, da pri odprti kodi dobri ljudje luknje najdejo prej, kot jih najdejo dobri ljudje pri zaprti kodi.


Edini problem pri tem je ta, da je tudi NSA&Co kvazi 'Good Guy' - in to tiste vrste 'Good Guy', ki tovrstno ranljivost še nikoli ni obesil na veliki zvon, temveč jo pridno izkoristil za 'lastne potrebe'.

Kaj pa misliš, da počne kopica vrhunskih strokovnjakov pri NSA? Res misliš, da izhajajo iz stališča 'ups, tole je pa odprta koda, tole se nam pa ne splača gledati - Jype je rekel, da je to vse 100% preverjeno, da ni lukenj notri'?

Veliko prej bi verjel, da NSA&Co zelo pridno sodelujejo pri takšni zakompliciranih odprtokodnih projektih in se trudijo notri vgraditi 'napakice', za katere vedo, da jih še desetletje ne bo nihče odkril. 99,999% uporabnikov takointako ni niti približno sposobnih odkriti takšno past. Od tistih 0.001%, ki ostanejo, pa so po vsej verjetnost vsaj 3/4 zelo tesno povezani z raznimi vladnimi projekti, vladnim financiranjem, donacijami, itd.
Naivni bi bili, če bi verjeli, da se vrhunski kriptografski eksperti kar prosto sprehajajo naokoli, ne da bi jih ovohavale razne tajne službe in jih vabile pod svoje okrilje!

Če se gremo teorije zarote, bi takšno ranljivost morda celo rada ena stran (npr. NSA) v igri 'zaprla', ker sluti, da je 'druga stran' (rusi, kitajci,..) prišla preblizu odkritja te pomanjkljivosti in se je pričela porajati nevarnost, da bi jo lahko pričeli zlorabljati proti njim.

Tu se potem lahko porodi vprašanje, koliko podobnih varnostnih lukenj še obstaja. Pregledati in najti takšne luknje je na svetu sposobna le peščica ljudi. Ali lahko kdo jamči, da ti strokovnjaki lahko kar prosto objavijo morebitno ranljivost? Vsaj tisti, ki jih sponzorirajo NSA&Co, z gotovostjo ne!

jype ::

Looooooka> ki za svoje napake materialno odgovarjajo,

Ti pa še nisi prebral EULA?

SeMiNeSanja> Veliko prej bi verjel, da NSA&Co zelo pridno sodelujejo pri takšni zakompliciranih odprtokodnih projektih in se trudijo notri vgraditi 'napakice', za katere vedo, da jih še desetletje ne bo nihče odkril.

Mhm. Pri zaprtokodnih pa te potrebe ni. Kar proizvajalec sam vgradi to, plačaš pa ti, dvakrat - najprej NSA, potem pa še proizvajalcu.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

jype je izjavil:

Mhm. Pri zaprtokodnih pa te potrebe ni. Kar proizvajalec sam vgradi to, plačaš pa ti, dvakrat - najprej NSA, potem pa še proizvajalcu.

Pri zaprtokodnem bom vsaj vedel, da brska samo NSA po mojem elektronskem smetju, ne pa še rusi, kitajci in kdorkoli, ki je še uspel izvohljati kakšno ljuknjo v kodi.

Definitivno pa je lažje izvohati ljuknjo, če je izvorna koda vsakemu vohljaču na voljo. Tako da imam raje kodo, ki jo ne more videt vsak 'Bad Guy' in v najslabšem primeru kvečjenu polovica 'Good Guy-ev'.

jype ::

SeMiNeSanja> Pri zaprtokodnem bom vsaj vedel, da brska samo NSA po mojem elektronskem smetju, ne pa še rusi, kitajci in kdorkoli, ki je še uspel izvohljati kakšno ljuknjo v kodi.

Res? Ker videti je, da Rusi, Kitajci in kdorkoli drug, brskajo predvsem po zaprtokodnem elektronskem smetju, vsaj glede na količino fiaskov.

SeMiNeSanja ::

Ti samo glej da ne bo kakšnega fiaska s tvojo odprto kodo in ne skrbi toliko za mojo zaprto.

Funny thing pri vas odprtokodnih fanatikih je to, da so vas polna usta, kako je koda lepo pregledna vsakomur, pa to čisto nič ne koristi, če se koda prevede na sistemu, kjer niso čisto vse knižnice up-to-date, saj lahko na zadnja vrata noter navlečete luknje, ki jih sploh niste predvidevali.
Na koncu vse skupaj ne izpade nič bolje, kot pri tistih, ki mobitele prodajajo z predinštaliranimi virusi...

Pri zaprti kodi vsaj slišimo vik in krik, ko se kakšna nova luknja pojavi, pri odprti kodi pa psssssssssssssssssssst - ja ne preveč na glas kaj reči!
Jah....pa mam že raje, da se na glas vpije in da vem, da naslednji patch ne smem preskočiti.
Potem pa pogledaš Linux uporabnike - polovica jih misli, da njihov sistem nima nobenih lukenj, da je neranljiv - in ga na koncu sploh ne updejta!
To ste dosegli s to svojo butasto teorijo, da je koda itak 1000x pregledana in varnostnih lukenj kao ne more biti.

Bodi realen in si priznaj, da je na obeh straneh polno lukenj in raje kaj naredi, da bodo tudi uporabniki odprte kode bolj zavedni tega, da je treba Linux ravno tako posodabljati, kot Windows-e.

jype ::

SeMiNeSanja> Ti samo glej da ne bo kakšnega fiaska s tvojo odprto kodo in ne skrbi toliko za mojo zaprto.

Moja država ima nonstop težave s tvojo zaprto kodo, jaz pa jo plačujem.

Če bi imela odprto, bi jo lahko namesto plačevanja popravljal, da bi bila manj zanič, tako pa lahko samo jamram, kot pravi Slovenec.

SeMiNeSanja> Pri zaprti kodi vsaj slišimo vik in krik, ko se kakšna nova luknja pojavi, pri odprti kodi pa psssssssssssssssssssst - ja ne preveč na glas kaj reči!

Mhm, resnično! Če se prej dovolj nabašeš s halucinogenimi drogami.

SeMiNeSanja> Bodi realen in si priznaj, da je na obeh straneh polno lukenj in raje kaj naredi, da bodo tudi uporabniki odprte kode bolj zavedni tega, da je treba Linux ravno tako posodabljati, kot Windows-e.

Ne kvasi neumnosti. Glede lukenj v Windows nihče (razen enega samega podjetja, ki skrbi za profit in popolnoma nič drugega) ne more ničesar pametnega storiti. Glede lukenj v katerikoli odprti zadevi pa... Popraviš, pa je.

Hayabusa ::

Če bi imela odprto, bi jo lahko namesto plačevanja popravljal, da bi bila manj zanič, tako pa lahko samo jamram, kot pravi Slovenec.

Lahko jo reversaš, debugger& disassembler.

jype ::

Hayabusa> Lahko jo reversaš, debugger& disassembler.

To že delam, pa nič ne pomaga tistim, ki se jih napake v kodi tičejo.

SeMiNeSanja ::

Jype - ne blodi desetletje ste živeli z varnostno luknjo na odprti kodi, zdaj pa modruješ čez Microsoft, ki jih dokaj redno sproti krpa.

Edino kar vas odprtokoderje ven vlači je to, da je odprta koda razmeroma nezanimiva za heckerje - zakaj bi iskal luknjo v sistemu, ki ga uporablja peščica, če lahko v istem času najdem luknjo v sistemu, ki ga uporablja 1000x več uporabnikov?

Pa ne blodi kaj ti vse popravljaš - kot da si ekspert za kriptografijo, in karkoli sposoben naresti, ko se odkrije luknja, kakršna je omenjena v članku! Ravno tako si popušil, kot navaden MS uporabnik, ki lahko samo pridno čiča in čaka, da bo zadevo rešil nekdo, ki se v to spozna.

Kaj ni patetično, da se ob slabosti odprte kode takoj vlečeš ven na Microsoft?
Saj ne vem, kaj imaš sploh z njim - mar ne delaš vse na odprti kodi?
Aja...država ima neprestano probleme z Microsoftom? Ampak res čudno, da po xx letih uporabe Microsofta, kot napredni uporabnik nisem imel z njim popolnoma nič več težav, kot z opevano odprto kodo. Mogoče se pa 'odprtokodni freak-i' nebi smeli vtikati v Microsoft programe, pa bi bilo koj manj težav? Je že tako, da je treba vedeti kaj delaš.....

Brane22 ::

ne da se mi iti spet v žnj-to debato open/closed source itd.

O M$-u je bilo več kot dovolj tudi drugje, o prednostih in nujnosti odprte kode tudi.

Moj post je bil usmerjen v smislu, da bi bilo fajn narediti nekaj na tem področju.

Mam precej močan feeling da vsaj del segmenta obravnava odprto kodo kot lokalna branjevka fura bio korenček lokalnim penzionerjem.

Saj je fajn da veš kaj ješ, samo če pa njivo namensko polivajo s pesticidi 3x več, da le končni izdelek lepo zgleda, potem ti pa branjevka reče "tole je pa BIO", je pa tudi osnovni namen zgrešen.

Mislim da bi nekaj te kontrole labelinga tudi v open-source worldu prineslo korist.

Bolje bi vedel, kaj uporabljaš in kaj plačaš in zakaj in manj bi bilo napihovanja. Pa imeli bi nekaj, kar je pri zaprti kodi po definiciji neizvedljivo.
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )

Oddelek: Novice / Varnost
7923157 (16806) Isotropic
»

Kitajski operacijski sistem že oktobra

Oddelek: Novice / Operacijski sistemi
3013844 (11901) Zvezdica27
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5326854 (23856) bobby
»

Kritična ranljivost v GnuTLS neodkrita skoraj devet let (strani: 1 2 3 )

Oddelek: Novice / Varnost
13429727 (25285) jype
»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Oddelek: Novice / Varnost
416417 (4795) McMallar

Več podobnih tem