» »

Odkriti kritični ranljivosti v TrueCryptu

Odkriti kritični ranljivosti v TrueCryptu

threatpost - TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.

Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili prisotni tudi v VeraCryptu, ki je eden izmed projektov (fork), ki sta se razvila na pogorišču TrueCrypta. Drugi je CiperShed. V VeraCryptu so ranljivosti že zakrpali, v TrueCryptu pa ju seveda ne bo nihče, ker se koda ne vzdržuje več. Forshaw pojasnjuje, da gre za precej zahrbtni luknji, ki sta posledica sodelovanja z operacijskim sistemom Windows, zato ni presenetljivo, da so ju pri pregledu kode spregledali. Kaže, da sta nastali pomotoma in da ne gre za namerna stranska vrata.

Ob tem poudarimo, da ne gre za pomanjkljivo izvedbo šifriranja, temveč ranljivosti, ki napadalcu omogoča prevzem nadzora nad računalnikom. Gre za napaki, ki sta prisotni tudi v nekaterih drugih programih in nista vezani izključno na kodo TrueCrypta. Zaradi napake pri preverjanju simbolne povezave, ki jo TrueCrypt uporablja za vpenjanje pogonov, lahko napadalec pridobi administratorske privilegije na računalniku. Ker omenjeni TrueCryptov gonilnik lahko pokliče katerikoli program, lahko katerikoli program tudi privilegije. Druga ranljivost omogoča prevzem identitete drugega uporabnika na istem računalniku in je manj kritična napaka od prve. Vse podrobnosti bodo objavljene teden dni po izidu popravkov za VeraCrypt. Tedaj bo tudi skrajni čas za prekinitev uporabe TrueCrypta, saj bo njegova koda ostala ranljiva, vse informacije pa bodo javno razgrnjene.

51 komentarjev

«
1
2

Highlag ::

Hmm, ravno sem bral temo Truectrypt varen in mrtev.... potem pa tole... :-)
Never trust a computer you can't throw out a window

Phantomeye ::

Torej, ce prav štekam, šifrirani diski niso problem, problem je, da je trucrypt mogoce uporabt kot neke vrste piggyback za napad na sistem?

Zgodovina sprememb…

AC_DC ::

Ranljivosti sta prisotni samo na win sistemih ?

trnvpeti ::

da

Oberyn ::

Prekleto, to je problem. Namreč Matthai, ki je brez dvoma kapaciteta na tem področju, odsvetuje uporabo VeraCrypta in sicer samo zato, ker je avtor Francoz. Francoska vlada lahko z brutalnim mučenjem (psihološkim kolikor nam je do sedaj znano) od svojega državljana izstisne karkoli, kot se je izkazalo pri enem uredniku wikipedie. Čeprav, kolikor se meni zdi, to lahko danes naredi vsaka vlada, plus še en kup modernih pseudo in semi vladnih agencij, tri-črkovnih ali x-črkovnih.

CipherShed pa do sedaj ni od sebe dal še ničesar razen maratonskega dogovarjanja, kakšno naj bo novo ime programa.

marvin42 ::

In kateri program naj zdaj uporabljam?
Mostly Harmless

Ribič ::

Dobro, če uporabljam svoje geslo, potem francozka vlada nima česar iztisniti od avtorja. Lahko pa sicer vgradi trojanca v program, ki ga potem uporabniki inštalirajo.

šernk ::

AC_DC je izjavil:

Ranljivosti sta prisotni samo na win sistemih ?


če sta res potem truecrypt živi naprej :))
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

mat xxl ::

Jaz tem blefom verjamem, le toliko, da bi nas določene varnostno obveščevalne agencije in Policije le rade prepričale, naj ja nehamo uporabljati za njih tako neprijazen Truecrypt in preidemo na kako drugo do teh služb bolj prijazno verzijo v te namene. Dejstva tudi so, da ni nihče nič konkretnega tu navedel, podal primere ipd., vse je na baba čula baba rekla....

Sicer pa vsak Win sistem mora imeti mnoge dodatne zaščite, da je varnostno sploh uporaben, tako, je težko, da kar vsak upade v naš računalnik...., sam bom še naprej uporabljal mrtvaka ..., ostali, pa najbolje čim prej na Win 10 in vprašajte , kar MS, kak tak program vam svetujejo..... :)

Zgodovina sprememb…

  • spremenil: mat xxl ()

Looooooka ::

Oberyn je izjavil:

Prekleto, to je problem. Namreč Matthai, ki je brez dvoma kapaciteta na tem področju, odsvetuje uporabo VeraCrypta in sicer samo zato, ker je avtor Francoz. Francoska vlada lahko z brutalnim mučenjem (psihološkim kolikor nam je do sedaj znano) od svojega državljana izstisne karkoli, kot se je izkazalo pri enem uredniku wikipedie. Čeprav, kolikor se meni zdi, to lahko danes naredi vsaka vlada, plus še en kup modernih pseudo in semi vladnih agencij, tri-črkovnih ali x-črkovnih.

CipherShed pa do sedaj ni od sebe dal še ničesar razen maratonskega dogovarjanja, kakšno naj bo novo ime programa.

Forkaj pa poglej koliko ljudi bo želelo met verzijo od človeka iz banana republike :P

Ribič ::

mat xxl je izjavil:

Sicer pa vsak Win sistem mora imeti mnoge dodatne zaščite, da je varnostno sploh uporaben, tako, je težko, da kar vsak upade v naš računalnik....
Windows že po sami naravi ni varna platforma, ker je zaprt in ne veš kaj vse se ti v ozadju sploh dogaja.

miko22 ::

matijadmin ::

Ribič je izjavil:

mat xxl je izjavil:

Sicer pa vsak Win sistem mora imeti mnoge dodatne zaščite, da je varnostno sploh uporaben, tako, je težko, da kar vsak upade v naš računalnik....
Windows že po sami naravi ni varna platforma, ker je zaprt in ne veš kaj vse se ti v ozadju sploh dogaja.


To ne bo držalo. Če je nekaj zaprtokodnega, še ne pomeni, da ni varno.

Odprtokodnost pomeni transparentnost, ki k varnosti prav gotovo doprinese in je tudi pogojno esencialna. Vladni uporabniki, ki jim je to omogočeno, pa vsekakor dobijo vpogled v kodo MS izdelkov (in to, da je za vse zaprta kot sam vidiš ni več čisto res).
Vrnite nam techno!

Zgodovina sprememb…

Jupito ::

Phantomeye je izjavil:

Torej, ce prav štekam, šifrirani diski niso problem, problem je, da je trucrypt mogoce uporabt kot neke vrste piggyback za napad na sistem?


Diski ne. Omogoča pa drugim aplikacijam, da si dodelijo administratorske privilegije. Po domače: ug, ug, dobu boš virus, udrl ti bodo v sistem!
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

matijadmin ::

Obe ranljivosti na osebnih računalnikih (ob predpostavki, da nimamo nameščene zlonamerne kode) nista popolnoma nobeno tveganje. Moti me, da večina novic ne izpostavlja, da ne gre za ranljivosti, ki bi omogočali oddaljeno izkoriščanje.

Sama eskalacija pravic na sistemu je skozi varnostno evolucijo (predvsem pa v zadnjem času) vse bolj onemogočana prav z namenom zatiranja zlonamernih kod v kali, da se tem prepreči namestitev in posege v sistem. Po drugi strani pa tako ali tako vemo, da so te to še vseeno vedno zmogle in, da pred okužbo morajo imeti nek vektor napada/okužbe (pa naj bo to nespametno ravnanje uporabnika ali ranljivost, ki jo je moč izkoristiti na daljavo), ki jim omogoči, da se sploh zaženejo.

Pod črto bi rekel, da je TC še vedno varen na osebnih/družinskih/službenih računalnikih, kjer gre za 'enouporabniški' sistem, oz. kjer si uporabniki med seboj zaupajo. Šifriranje pa tako ali tako ni bilo kompromitirano!
Vrnite nam techno!

Zgodovina sprememb…

poweroff ::

Tako je, kot pravi Matijadmin. Se pa strinjam, v resničnem svetu malware-free računalnikov ni, zato je to napako smiselno odpraviti.

Veracrypt ima sicer tudi nekaj performančnih težav, glede dejstva, da zadevo razvija francosko podjetje pa takole - to je gotovo stvar, ki zahteva pozornost in lahko potencialno predstavlja problem. Samo po sebi to ne pomeni, da je program nezanesljiv, ampak če imam na voljo druge enako kvalitetne alternative, bom raje uporabljal drugo rešitev. V resnici jaz teh problemov nimam, ker ne uporabljam Windowsov.

Ampak po drugi strani je pa res, da na Windowsih ni boljše alternative. Tako da se lahko zanašamo zlasti na to, da bo koda javna in predgledovana s strani drugih razvijalcev.
sudo poweroff

c00L3r ::

Kaj se pa priporoča kot varna alternativa TrueCryptu?

Bellzmet ::

OK. Kaj te ranljivosti pri TC pomenijo? Če izgubim USB ključek in ga najde nekdo, ki ima veliko računalniškega znanja o kriptiranju ali lahko preko teh pomankljivosti/back door/??? odpre "container file" ali mu še vedno ostane samo brute force?

Zgodovina sprememb…

  • spremenilo: Bellzmet ()

miko22 ::

Bellzmet je izjavil:

OK. Kaj te ranljivosti pri TC pomenijo? Če izgubim USB ključek in ga najde nekdo, ki ima veliko računalniškega znanja o kriptiranju ali lahko preko teh pomankljivosti/back door/??? odpre "container file" ali mu še vedno ostane samo brute force?


Kontajnera ti ne bo odpr noben. Ni tega junaka, če maš dobro geslo. Lahko pa ti kdo odpre, če ti kdo namesti kako sranje na računalnik "pa spremlja", kako je tvoje geslo. Ampak, to je bolj kot ne immpossible, razen če si na seznamu za terorista.

AC_DC ::

matijadmin ::

Bellzmet je izjavil:

OK. Kaj te ranljivosti pri TC pomenijo? Če izgubim USB ključek in ga najde nekdo, ki ima veliko računalniškega znanja o kriptiranju ali lahko preko teh pomankljivosti/back door/??? odpre "container file" ali mu še vedno ostane samo brute force?


Čisto nič se ne spremeni - ostane jim napad z grobo silo. Enako velja, če ti ukradejo ali zasežejo prenosnik ali namizni računal s FDE.
Vrnite nam techno!

Zgodovina sprememb…

Hair ::

A Rohos kdo pozna? Je zadeva OK? Sam ga sicer uporabljam že nakaj let za backupe, ker mi pri TrueCryptu nekaj ni bilo všeč (če se prav spomnim, je bil možen dostop do podatkov samo z računalnika, ki ima TC naložen)
ampak v bistvu niti ne vem, če je zadeva varna...
Whenever people agree with me, I feel I must be wrong.

Bellzmet ::

OK. Hvala za pojasnila.
@ac dc: sem prebral sedaj ta post:)

celebro ::

c00L3r je izjavil:

Kaj se pa priporoča kot varna alternativa TrueCryptu?

Se pridružujem vprašanju. Kaj je trenutno najbolj pametno uporabljati? Konkretno potrebujem za OSX in Linux, kjer se share-a isti container.

Ribič ::

matijadmin je izjavil:

To ne bo držalo. Če je nekaj zaprtokodnega, še ne pomeni, da ni varno.
Lahko je varno, lahko pa tudi ni in ti tega ne veš, ker nimaš vpogleda v izvorno kodo. Zato raje predpostaviš, da ni varno, kot pa da se močno opečeš. Sicer pa tisto, kar sem napisal, je samo citat nekega varnostnega znanstvenika (ang. security researcher - ali imamo sploh slovensko besedo za to?) in on verjetno ve o čem govori.

ales85 ::

matijadmin je izjavil:

Ribič je izjavil:

mat xxl je izjavil:

Sicer pa vsak Win sistem mora imeti mnoge dodatne zaščite, da je varnostno sploh uporaben, tako, je težko, da kar vsak upade v naš računalnik....
Windows že po sami naravi ni varna platforma, ker je zaprt in ne veš kaj vse se ti v ozadju sploh dogaja.


To ne bo držalo. Če je nekaj zaprtokodnega, še ne pomeni, da ni varno.

Odprtokodnost pomeni transparentnost, ki k varnosti prav gotovo doprinese in je tudi pogojno esencialna. Vladni uporabniki, ki jim je to omogočeno, pa vsekakor dobijo vpogled v kodo MS izdelkov (in to, da je za vse zaprta kot sam vidiš ni več čisto res).

Ne morem si pomagati, da ne bi omenil. Pa ti uporabniki tudi vedo, da so dobili binary iz iste kode, ki so jo dobili na vpogled? Mogoče imajo za to kako poskrbljeno skozi različne audite ampak vseeno, zagotovil ni.

In ja, vem, kdo mi zagotavlja, da je moj opensource binary iz istega vira, ki je bil pregledan? Nihče ampak ga lahko pa sam kompajlam.

Ribič ::

Debian razvijalci imajo eno vrsto preverjanja, kjer iz izvorne kode ponovno skompilajo binarni program in ga potem primerjajo z originalom. Če original ni modificiran potem se ne sme razlikovati od kompilanega.

matijadmin ::

Ribič je izjavil:

matijadmin je izjavil:

To ne bo držalo. Če je nekaj zaprtokodnega, še ne pomeni, da ni varno.
Lahko je varno, lahko pa tudi ni in ti tega ne veš, ker nimaš vpogleda v izvorno kodo. Zato raje predpostaviš, da ni varno, kot pa da se močno opečeš. Sicer pa tisto, kar sem napisal, je samo citat nekega varnostnega znanstvenika (ang. security researcher - ali imamo sploh slovensko besedo za to?) in on verjetno ve o čem govori.


Če ni bi iztrgal iz konteksta moje izjave, bi vedel, da me v bistvu ponavljaš. Ne veš, kaj dejansko varnost je in je ne ločiš od transparentnosti. Poleg tega pa vlade imajo (kot sem že zapisal) vpogled v kodo!
Vrnite nam techno!

Oberyn ::

matijadmin je izjavil:

Poleg tega pa vlade imajo (kot sem že zapisal) vpogled v kodo!

Ne vem, če ima to kakšno posebno težo. Prvič, vlade imajo vpogled v tisto kodo, ki jim jo MS da na vpogled. To po mojem osebnem mnenju ne pomeni prav veliko. Drugič, kar je bolj pomembno, koga briga za vlade? Zanimivo in čudno in strašljivo hkrati, ampak vlade so sovražnik. Zakaj se mi tako zdi? Na precej forumih, ki sem jih prebiral, pri VeraCrypt projektu in marsikje drugje, se ljudje v veliki večini želijo zaščititi ravno pred vladami. To je prav očitno, tudi tu na ST v takih temah. Tako da četudi imajo vlade res vpogled v kodo npr. BitLockerja, komu mar? Niso več na naši strani, žal.

Looooooka ::

Seveda jo majo. V vso kodo. Pa kaj? A če mi gledamo kodo iz repota je varno, če pa država zaprto kodo je pa vse narobe. A bi res želeli, da teh pregledov nihče ne izvaja :)

sgdjkdlsugi4 ::

Vsi so imeli vpogled v openssl, pa se je vseeno zgodil Heartbleed.

matijadmin ::

Oberyn je izjavil:

matijadmin je izjavil:

Poleg tega pa vlade imajo (kot sem že zapisal) vpogled v kodo!

Ne vem, če ima to kakšno posebno težo. Prvič, vlade imajo vpogled v tisto kodo, ki jim jo MS da na vpogled. To po mojem osebnem mnenju ne pomeni prav veliko. Drugič, kar je bolj pomembno, koga briga za vlade? Zanimivo in čudno in strašljivo hkrati, ampak vlade so sovražnik. Zakaj se mi tako zdi? Na precej forumih, ki sem jih prebiral, pri VeraCrypt projektu in marsikje drugje, se ljudje v veliki večini želijo zaščititi ravno pred vladami. To je prav očitno, tudi tu na ST v takih temah. Tako da četudi imajo vlade res vpogled v kodo npr. BitLockerja, komu mar? Niso več na naši strani, žal.


Hotel sem pokazati, da ni čisto res, da je a) zadeva nujno nevarna in b) koda za vse zaprta. Saj pravim, jaz bi se na TC še kar zanesel, če bi ga uporabljal in potreboval.

sgdjkdlsugi4 je izjavil:

Vsi so imeli vpogled v openssl, pa se je vseeno zgodil Heartbleed.


Nikdar pa ne bomo vedel ali je šlo za nenamerno napako ali podtaknjenega hrošča, saj je oboje možno in nekateri se v tovrstnem podtikanju celo urijo: https://slo-tech.com/novice/t650766
Vrnite nam techno!

Zgodovina sprememb…

McMallar ::

@ales85: saj si lahko kompajlas tudi Windows kodo, ce imas source...

@Ribic: ampak, ali gcc vedno izpljune popolnoma enako kodo? Na primer, .Net prevajalnik ti isto kodo prevede z drugacnim checksumom ampak source je pa identicen (vir). Tako da, to je uporabno ko imas binary in checksum, ne pa ko imas source in checksum binary datoteke, ki jo je prevedel nekdo drug. Zdaj, ce ima Linux to drugace urejeno pa ne bi vedel.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

matijadmin ::

McMallar je izjavil:

@ales85: saj si lahko kompajlas tudi Windows kodo, ce imas source...

@Ribic: ampak, ali gcc vedno izpljune popolnoma enako kodo? Na primer, .Net prevajalnik ti isto kodo prevede z drugacnim checksumom ampak source je pa identicen (vir). Tako da, to je uporabno ko imas binary in checksum, ne pa ko imas source in checksum binary datoteke, ki jo je prevedel nekdo drug. Zdaj, ce ima Linux to drugace urejeno pa ne bi vedel.


.Net prevajalnik (tako kot (skoraj) vsi prevajalniki) ustvari iz identične izvorne kode ponovljivo identično izvršljivo kodo, problem je v njenem formatu, ki lahko vsebuje še časovni žig in zato bo preverjanje integritete tistemu, ki za to ne ve, spodletelo.
Vrnite nam techno!

Ribič ::

McMallar ::

@mitjadmin & @ribic: hvala. Za timestamp vem, to z Debianom si pa bom tudi pogledal.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

sgdjkdlsugi4 ::

matijadmin je izjavil:


Nikdar pa ne bomo vedel ali je šlo za nenamerno napako ali podtaknjenega hrošča, saj je oboje možno in nekateri se v tovrstnem podtikanju celo urijo: https://slo-tech.com/novice/t650766


Res je, mislil sem v smislu, da je odprta koda oh in ah false sense of security, ce je nobeden ne preverja ali sploh ni v stanju, da bi to zmogel iz vidika tehnicnega znanja. Ali je bilo podtaknjeno ali ne, ta ranljivost je bila v uporabi leta in je nihce ni opazil.

poweroff ::

Tako je. Še huje je. Varnostni pregled je bil narejen, in ranljivosti niso opazili.

Kakšno je torej stanje pri zaprtokodnih produktih, si lahko le mislimo...
sudo poweroff

matijadmin ::

sgdjkdlsugi4 je izjavil:

matijadmin je izjavil:


Nikdar pa ne bomo vedel ali je šlo za nenamerno napako ali podtaknjenega hrošča, saj je oboje možno in nekateri se v tovrstnem podtikanju celo urijo: https://slo-tech.com/novice/t650766


Res je, mislil sem v smislu, da je odprta koda oh in ah false sense of security, ce je nobeden ne preverja ali sploh ni v stanju, da bi to zmogel iz vidika tehnicnega znanja. Ali je bilo podtaknjeno ali ne, ta ranljivost je bila v uporabi leta in je nihce ni opazil.


Odprta koda je zagotovilo in predpogoj za transparentnost nič več kot to.
Vrnite nam techno!

johnnyyy ::

McMallar je izjavil:

@Ribic: ampak, ali gcc vedno izpljune popolnoma enako kodo?

Koda lahko vsebuje __DATE__, __TIME__ in ostale preprocesorske ukaze, pri katerih je binarc po prevajanju drugačen. Potem pa je odvisno tudi od linkerja (linker skripte), kako bo objekte polinkal. Pa tudi make skripte včasih vsebujejo informacije o tem, kje se je objekt buildal.

McMallar ::

Tocno. Se pravi, ali je sploh mogoce vzeti source, ga pregledati in potem reci da je binary OK? Ker ce ga sam prevedem je velika verjetnost da bo hash drugacen, cetudi predpostavim da je source isti...

@Matthai: kolikor je meni znano se je varnostni pregled osredotocal na crypto del in ne toliko na druge dele kode.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Je mogoče narediti reproducible oz. deterministic builds, samo se je treba potruditi. Recimo pri Androidu: https://f-droid.org/wiki/page/Determini...
sudo poweroff

johnnyyy ::

McMallar je izjavil:

Tocno. Se pravi, ali je sploh mogoce vzeti source, ga pregledati in potem reci da je binary OK? Ker ce ga sam prevedem je velika verjetnost da bo hash drugacen, cetudi predpostavim da je source isti...

Če uporabljaš enak prevajalnik z enakimi nastavitvami na enaki arhitekturi z enako linker skripto in če uporabiš fake knjižnice potem bi moral dobiti enak binarc.

MrStein ::

Ribič je izjavil:

matijadmin je izjavil:

To ne bo držalo. Če je nekaj zaprtokodnega, še ne pomeni, da ni varno.
Lahko je varno, lahko pa tudi ni in ti tega ne veš, ker nimaš vpogleda v izvorno kodo.

Ne veš, tudi če imaš vpogled.

sgdjkdlsugi4 je izjavil:

Vsi so imeli vpogled v openssl, pa se je vseeno zgodil Heartbleed.

Pa recimo v kodo Firefox imamo vsi vpogled, pa poglej koliko resnih bugov je not.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

poweroff je izjavil:

Tako je, kot pravi Matijadmin. Se pa strinjam, v resničnem svetu malware-free računalnikov ni, zato je to napako smiselno odpraviti.

Huh?
Misliš mogoče "bug-free"?
Ker malware free je kar nekaj sistemov.

poweroff je izjavil:

Tako je. Še huje je. Varnostni pregled je bil narejen, in ranljivosti niso opazili.

Kakšno je torej stanje pri zaprtokodnih produktih, si lahko le mislimo...

"Franca je preverila policija in odkrila, da je kradel. Kaki hudodelec mora šele biti njegov brat Matjaž, ki ga sploh niso preverili!"

(ker na closed source produktih ni varnostnih pregledov...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Yacked2 ::

MrStein je izjavil:

poweroff je izjavil:

Tako je, kot pravi Matijadmin. Se pa strinjam, v resničnem svetu malware-free računalnikov ni, zato je to napako smiselno odpraviti.

"Franca je preverila policija in odkrila, da je kradel. Kaki hudodelec mora šele biti njegov brat Matjaž, ki ga sploh niso preverili!"

(ker na closed source produktih ni varnostnih pregledov...)


Zagotovo so closed source produkti dobro zaščiteni, saj jih drugače ne bo nihče uporabljal, če bi lahko kdorkoli zlorabil ranljivosti.

Problem pa je to, da imajo nekateri? produkti vgrajene backdoor, če poznaš določene parametre, kar pomeni da lahko človek, ki ve za backdoor, ustopi v sistem, ostali pa ne. Število teh ljudi pa mora biti zelo omejeno (naprimer na varnostne agencije, policije, ljudi z (zelo) veliko €), saj bi drugače produkt izgubil uporabnike. Tak primer je naprimer Windows, ne more ti ga kar vsak mulc pohackat, ampak če imaš pa dovolj sredstev...
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

MrStein ::

Yacked2 je izjavil:


Zagotovo so closed source produkti dobro zaščiteni, saj jih drugače ne bo nihče uporabljal, če bi lahko kdorkoli zlorabil ranljivosti.

Kdorkoli lahko zlorabi ranljivosti.

Yacked2 je izjavil:

Tak primer je naprimer Windows, ne more ti ga kar vsak mulc pohackat, ampak če imaš pa dovolj sredstev...

Tak je tudi Linux, OS X in vse drugo tudi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

MrStein je izjavil:

"Franca je preverila policija in odkrila, da je kradel. Kaki hudodelec mora šele biti njegov brat Matjaž, ki ga sploh niso preverili!"

(ker na closed source produktih ni varnostnih pregledov...)

Seveda so. Ampak kot smo videli pri tem primeru, tudi varnostni pregledi ne odkrijejo vsega.

Ampak ja, razumem. Zaprtokodni produkti nimajo ranljivosti. Česar ne vidiš, pač ne obstaja. :))
sudo poweroff

MrStein ::

Slabo trolaš.
"Jupitrove lune ne obstajajo, ker jih ne vidim" je moje besedilo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Truecrypt opozorilo

Oddelek: Pomoč in nasveti
163140 (1832) harmony
»

Samsungovi in Crucialovi SSD-ji ne znajo varno šifrirati

Oddelek: Novice / Varnost
317898 (4654) bbbbbb2015
»

Šifriranje folderja/container na PC brez pravic

Oddelek: Pomoč in nasveti
112253 (1968) sodnicaN
»

TrueCrypt je varen in mrtev

Oddelek: Novice / Varnost
4122513 (14965) Jst
»

NSA lahko bere večino šifrirnega, ne pa vsega

Oddelek: Novice / NWO
4517177 (12970) deadzone

Več podobnih tem