» »

Dodatni razvijalci in pregled kode OpenSSL-a

Dodatni razvijalci in pregled kode OpenSSL-a

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Slo-Tech - Fundacija Linux je napovedala, da bo financirala temeljit pregled kode OpenSSL in zaposlitev dveh razvijalcev s polnim delovnim časom, v kar jih je prepričal odkrit hrošč Heartbleed. Čeprav trenutno že teče projekt LibreSSL, v sklopu katerega pripravljajo vitkejše in preverjene knjižnice, je tudi razvoj OpenSSL prav tako pomemben, zlasti ker LibreSSL ne bo podpiral vseh funkcionalnosti.

Doslej je bil OpenSSL kadrovsko in predvsem finančno zelo podhranjen, kar se je odrazilo tudi na kakovosti kode. Zato je Fundacija Linux ustanovila Core Infrastructure Initiative (CII), ki bo upravljala in nadzorovala OpenSSL in podobne odprtokodne projekte, na katerih teče velik del infrastrukture. Adobe, Bloomberg, HP, Huawei in SalesForce so novi člani CII, v kateri že sodelujejo Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace in VMware. Podjetja bodo letno prispevala najmanj 100.000 dolarjev za CII v obdobju vsaj treh let. S tem denarjem bodo financirali več projektov - ne le OpenSSL, temveč tudi OpenSSH, Network Time Protocol in v prihodnosti še kakšnega podobnega.

Konkretno bo OpenSSL dobil dva človeka (Stephen Henson in Andy Polyakov), ki bosta plačana za bdenje nad projektom. Poleg tega so zbrali tudi sredstva za varnostni pregled (audit) obstoječe kode. Na ta način želijo preprečiti, da bi se fiasko Heartbleed še kdaj ponovil. CII upa, da je to le začetek in da bo sčasoma na projektih delalo še več ljudi.

30 komentarjev

alexa-lol ::

To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.

carota ::

Na spodnjem linku imaš stran tega projekta kjer lahko doniraš. Tako bodo lažje alocirali 10 razvijalcev in 10 auditorjev. Lahko pa pomagaš tudi z delom na projektu. Vsak prispevek je dobrodošel.

http://www.linuxfoundation.org/programs...

noraguta ::

ni norčevanje, slabo plačana strokovnjaka je lažje podkupit, da požegnata backdoorano kodo, kot pa neko ugledno entiteto na tem področju.
Pust' ot pobyedy k pobyedye vyedyot!

Matthai ::

...ki bosta plačana za bdenje nad projektom...

Poleg tega so zbrali tudi sredstva za varnostni pregled (audit) obstoječe kode.

Bralne veščine, pa to.
All those moments will be lost in time, like tears in rain...
Time to die.

pegasus ::

Kako se ta effort prekriva z LibreSSL?

Smurf ::

alexa-lol je izjavil:

To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.

Predvidevam, da nisi programer. Matematicno se ne dokazuje niti kode za shuttle/letala.

Nummy ::

Čak mal a ni OpenSSL open source in bi lohka vsak paglavc "delal" na kodi?

Aja sej res... vsi se sam važjo, ko je pa treba kej nardit pa rep med noge...

SleepyFE ::

Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.

Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).

filip007 ::

Ponavadi je tako, najprej mora "avion" dol pasti, potem pa se ureja hrošče šele.
Get off the phone.

Nummy ::

SleepyFE je izjavil:

Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.

Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).

Ja glede na tale slo-tech forum se močno motiš. Tu so vsi že prebrali celotno kodo svojega sistema in software-ja, ki ga uporabljajo! /sarcasm

Poldi112 ::

>Aja sej res... vsi se sam važjo, ko je pa treba kej nardit pa rep med noge...

LibreSSL je kar aktiven zadnji mesec.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

LightBit ::

Nummy je izjavil:

Čak mal a ni OpenSSL open source in bi lohka vsak paglavc "delal" na kodi?

Saj že med prevajanjem vidiš, da ni kvalitetna koda.
Da bi jo popravili je preveč dela. Bolje začeti znova (kar sem tudi naredil).

Nummy ::

LightBit je izjavil:

Nummy je izjavil:

Čak mal a ni OpenSSL open source in bi lohka vsak paglavc "delal" na kodi?

Saj že med prevajanjem vidiš, da ni kvalitetna koda.
Da bi jo popravili je preveč dela. Bolje začeti znova (kar sem tudi naredil).

A res, in potem si tako "sebičen" da nisi objavil popravkov? I call that BS.

LightBit ::

Nummy je izjavil:

LightBit je izjavil:

Nummy je izjavil:

Čak mal a ni OpenSSL open source in bi lohka vsak paglavc "delal" na kodi?

Saj že med prevajanjem vidiš, da ni kvalitetna koda.
Da bi jo popravili je preveč dela. Bolje začeti znova (kar sem tudi naredil).

A res, in potem si tako "sebičen" da nisi objavil popravkov? I call that BS.

Ni popravkov, ker sem začel od začetka. Mojo knjižnico sem objavil (github), ampak ni zamenjava za OpenSSL, ker ima drug API in naredil sem samo simetrično kriptografijo (brez asimetrične in brez SSL/TLS), potem mi je zmanjkalo časa.

Zgodovina sprememb…

  • spremenil: LightBit ()

MrStein ::

SleepyFE je izjavil:

Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.

Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).

Ne glejte mene, glejte tadrugega?

5 točk za tistega, ki pove ime tega fallacy-ja.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

pegasus ::

Smurf je izjavil:

Matematicno se ne dokazuje niti kode za shuttle/letala.
Pomembne dele kode pravgotovo se - glej "formal verification" in jezike kot so spark ada.

SleepyFE ::

MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.

alexa-lol ::

Smurf je izjavil:

alexa-lol je izjavil:

To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.

Predvidevam, da nisi programer. Matematicno se ne dokazuje niti kode za shuttle/letala.


Seveda se ne ker je je prevec. Da to obidejo dajo ločenim ekipam enak problem in potem računalniki drug drugega nadzorujejo.

Enkripcija.. to so pa osnove in to pač more biti bug free... 99.99% zanesljivost ni dovolj

Poldi112 ::

Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

ulemek ::

Vsa sreča, da je Fundacija registrirana v Oregonu in lahko ti čuvaji luči kadar koli prejmejo NSL. :))

alexa-lol ::

Poldi112 je izjavil:

Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.


Prav tako ti ne pomaga če je vse okoli 100% varno, enkripcija je varna pa le 99.99%

MrStein ::

SleepyFE je izjavil:

MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.

Ni važno, da je ptujski fricl posiljeval, saj je "original" posiljeval trikrat bolj!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

alexa-lol je izjavil:

Poldi112 je izjavil:

Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.


Prav tako ti ne pomaga če je vse okoli 100% varno, enkripcija je varna pa le 99.99%


Seveda ti. Enkripcija je zgolj ena od ovir, ki jih postaviš. In vse kar jaz pravim je, da ni smiselno investirati v brutalno draga nova vrata, če imaš na hiši lesena, polomljena okna.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

s6c-gEL ::

Ali tanke stene iz iverke.

srus ::

Nekaj let nazaj sem v prejšnje podjetje pripeljal Codenomicon DEFENSICS. Rezultati black-box in negativnega testiranja naše PO so bili zelo pozitivni.

SleepyFE ::

MrStein je izjavil:

SleepyFE je izjavil:

MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.

Ni važno, da je ptujski fricl posiljeval, saj je "original" posiljeval trikrat bolj!


Ptujski fricl je pač dubu nižjo kazen, medtem ko odprtokodni program je končal v novicah in vsi so govorili:"Odprtokodni razvoj ne deluje, a vidte da ma program luknje"
Windows-ov in njihovih tedenskih popravkov ni pa noben niti omenil. Nisem hotu da se pozabi na ranljivost TrueCrypt-a, hotu sm izpostavt več ranljivosti, da bi vse skupaj postavil v perpektivo.

Ups mislil sm SSL-a

Zgodovina sprememb…

  • spremenilo: SleepyFE ()

misek ::

srus je izjavil:

Nekaj let nazaj sem v prejšnje podjetje pripeljal Codenomicon DEFENSICS. Rezultati black-box in negativnega testiranja naše PO so bili zelo pozitivni.
Ja, ti so pravi mojstri. Je pa tudi naša PO dobro preživela teste. Z razliko od odprte kode, ki se prav tako uporablja - ta je pogorela po celi črti. Ni pa šlo za testiranje varnosti ampak protokolov.

alexa-lol ::

Poldi112 je izjavil:

alexa-lol je izjavil:

Poldi112 je izjavil:

Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.


Prav tako ti ne pomaga če je vse okoli 100% varno, enkripcija je varna pa le 99.99%


Seveda ti. Enkripcija je zgolj ena od ovir, ki jih postaviš. In vse kar jaz pravim je, da ni smiselno investirati v brutalno draga nova vrata, če imaš na hiši lesena, polomljena okna.


Point je v tem da je to če maš ti polomljena okna so tvoj problem, luknja ki jo je povzročil tvoj razvoj. Če proti vlomna vrata niso tako proti vlomna kot si mislil je pa za to kriv proizvajalec proti vlomnih vrat, razvijalci openSSL.

Še ena bistvena razlika. Če imaš ti neko ranljivost na strani in jo kdo odkrije je ogrožena le tvoja stran. Z odkritjem te ranljivosti je na 1 mah ranljivih 500.000 strani. Big difference.

arjan_t ::

misek je izjavil:

Z razliko od odprte kode, ki se prav tako uporablja - ta je pogorela po celi črti. Ni pa šlo za testiranje varnosti ampak protokolov.


ker je kvaliteta open in closed-source stvari konstanta

MrStein ::

SleepyFE je izjavil:

MrStein je izjavil:

SleepyFE je izjavil:

MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.

Ni važno, da je ptujski fricl posiljeval, saj je "original" posiljeval trikrat bolj!


Ptujski fricl je pač dubu nižjo kazen, medtem ko odprtokodni program je končal v novicah in vsi so govorili:"Odprtokodni razvoj ne deluje, a vidte da ma program luknje"
Windows-ov in njihovih tedenskih popravkov ni pa noben niti omenil.

Patch tuesday ima svojo novico skoraj vsak mesec.
Če ni nič zanimivega, potem tudi kdaj spregledajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Začenja se revizija kode OpenSSL

Oddelek: Novice / Varnost
339465 (5426) Poldi112
»

LibreSSL za zdaj še nevaren

Oddelek: Novice / Varnost
175388 (4002) AndrejO
»

Iz OpenSSL tudi BoringSSL

Oddelek: Novice / Varnost
155574 (3897) Looooooka
»

Del OpenSSL bo postal LibreSSL

Oddelek: Novice / Varnost
166150 (4707) LightBit

Več podobnih tem