Megtörték a gluck.debian.org-ot

Cracker, Black Hat

James Troup jelentette be nem sokkal ezelőtt, hogy feltörték a gluck.debian.org szervert. A Debian projekt leállította a szervert és felkészülnek az újratelepítésére. Ebből kifolyólag az alábbi szolgáltatások nem érhetőek el jelen pillanatban:

  • cvs
  • ddtp
  • lintian
  • people
  • popcon
  • planet
  • ports
  • release

A Debian projekt gépen a bejelentkezési lehetőséget fagyasztották, amíg ki nem vizsgálják
milyen módon törték meg a gépet és mit érint a dolog.

A bejelentés itt. Sajnos nem ez volt az első alkalom.

(A hírért köszönet gcs-nek.)

( Hunger | 2006. 07. 12., sze – 21:28 )

Sajnos nem ez volt az első alkalom.

Sajnos nem és valószínűleg nem is az utolsó... :\

Ellenben nagyon pozitív dolog a Debiantól, hogy mihamarabb információkkal szolgálnak az esetről. Kár, hogy ezt a full-disclosure elvet a Linux kernel fejlesztők nem követik ilyen példa értékű módon.

Hagy ne kelljen felsorolnom... Az összes Linux kernel sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)

"Szerző: Hunger
Dátum: sze, 2006-07-12 23:13

Hagy ne kelljen felsorolnom... Az összes Linux kernel sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)
"

Már megbocsáss, de véletlenül nem Microsoftot akartál írni?
Elbagatellizálják a hiba komolyságát, és/vagy a hiba felfedezése után fél évre rá jön ki a javítás. És a másik, hogy a javítás nem működik, mire kijön a javítás javítása.... stb.
Szerintem bizonyosan ilyen dolgok járhattak a fejedben amikor a fentieket írtad.
Semmi gond, hiszen ez olyan "feltételes reflex" mint amikor egy személy azt mondta: "Nem Linux ez, hogy mindíg újra kelljen telepíteni"
Mindenesetre jó tiszta vizet önteni a pohárba, mert a végén még a Linux az amelyik vírusos, amelyik kék képernyőt dob ha valami hiba van, stb...

Máskülönben (ha jól emlékszem) az MS francia oldalát is feltörték nemrég.
Így hát: Hagy ne kelljen felsorolnom... Az összes windows sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)

Advisory nem készül róla, van git, vagy changelog amiben mindig ott a CVE id. Utána lehet nézni. Aki ezzel foglalkozik, az tudja, hogy mit kell nézni. Különben is viccesnek tűnik számomra egy nyílt forrású projektnél az "eltitkolás", mint fogalom. Az való igaz, hogy a Népszabadságban nem jelenik meg. Na de kérdem én, meg kellene ott jelennie?

"Könnyen eltudnám képzelni, hogy a mostani eset mögött is egy elsumákolt sebezhetőség van..."

Szerintem semmilyen eltitkolt dolog nincs mögött. Szerintem egyszerűen felnyomta valaki a gépet azzal a local root exploittal ami közkézen forog. Elképzelhető, hogy gyorsabb volt az illető, amint a rendszergazda. Ez könnyen előfordulhat. Ez ellen védekezni meglehetősen nehéz. Azoknak a gépeknek ahova egynél több embernek van hozzáférése, túros a háta. Ezeket ennek megfelelően kell kezelni.

--
trey @ gépház

Ha nem lesz biztonsági javításnak minősítve, akkor nem készül róla CVE bejegyzés sem. :)

Eltitkolás pedig bár mennyire furcsának is tűnik open source esetében is működik. Egyszerűen arról van szó, hogy a fejlesztők direkt (vagy néha akár nem is készakarva) úgy commitolnak egy bugfixet, hogy nem írják oda mennyire súlyos hibát is javít (sok esetben talán ők sincsenek ezzel teljesen tisztában). Ha pedig nekik sem mindig világos, hogy mennyire kihasználható egy adott hibából eredő sebezhetőség, akkor gondolhatod, hogy másnak sem lesz annyira egyszerű eldönteni, aki esetleg figyelemmel is próbálja követni a fejlesztést. A commitok folyamatos figyelése egyébként szintén nem triviális feladat, mivel egy-egy 2.6-os verzió közötti diff sok esetben akár 30 megás is szokott lenni. Senki nem tud átnézni ekkora kódmennyiséget ennyi idő alatt. Jó példa erre ez a remek Copyright sor a cifs_unicode.h-ban, amely régebben került véletlenül módosításra egy commit során és senki sem vette észre. Pedig gondolhatod, hogy egy ilyet könyebb észrevenni, mint egy security bugot... ;)

Azért lehet eltusoltnak/eltitkoltnak nevezni, mert nem hozzák nyilvánosságra minden esetben (csak ha már publikussá válik más csatornákon keresztül, akkor megerősítik a hírt), hogy egy commitolt bugfix mennyire súlyos sebezhetőséget javít. Sok esetben ráadásul egy kihasználható hibát direkt úgy javítanak, hogy a commithoz fűzött szövegből véletlenül se gondolja a fejlesztést figyelemmel kísérő ember, hogy a bugfix mit is takar pontosan. Erről egyébként 2 éve küldtem is be egy cikket...

És mielőtt megint valaki nekem esik, hogy én direkt csak Linux lejárató cikkeket küldök be és ilyen hozzászólásokat posztolok csak, annak felhívnám a figyelmét arra, hogy OpenBSD-nél sem jobb a helyzet ilyen téren és ennek is hangot szoktam adni, kivétel nélkül.

És igen, az MS is sok javítást eltitkol a patcheiben, neki is a kurva anyját! :)

Szerintem pedig neked kéne újból elővenni az olvasókönyvet és ismételni egy kicsit, majd utána vetni egy pillantást erre az oldalra:

Link a szóban forgó hiba git bejegyzésére

Elsőként vedd észre, hogy az első sorban szerepel a hiba CVE bejegyzésének száma, másrészt az utolsó sorban fel van tüntetve a hiba local root jellege.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Kár, hogy ezt július 6-án fixálták és be is jelentették. Nem látom a titkolózást.

Vagy nem értem mit akarsz mondani. Arról volt szó, hogy eltussulják. Ennek ellenére, én senkiházi !security expert tudtam róla.

Szerk: ja tovább olvastam. Ahogy látom nem nagyon értettek egyet veled. Nézőpont kérdese. Kinek mi a titkolózás. Ha el tudod olvasni a commit-ot szerintem nem az. Szerinted az. Vajon akkor egy zárt forrású rendszernél ha titokban fixálnak, akkor az mi? Extra tussolásos titkolózás? :)

--
trey @ gépház

> ja tovább olvastam. Ahogy látom nem nagyon értettek egyet veled.

kik nem ertettek velem egyet? *egyetlen* emberke probalt hadakozni, es a vegen nagyon csendben maradt, amikor rajott, hogy az, amit 'it is possible for userspace to provoke a machine check on 32-bit kernels'-nek irtak a commit logban, az valojaban tetszoleges kernel memoria olvasasi hiba 64 bites kerneleken (amirol a commit egy arva kukkot nem szol). szerinted ez nem a hiba igazi termeszetenek eltussolasa?

> Nézőpont kérdese. Kinek mi a titkolózás. Ha el tudod olvasni a commit-ot szerintem nem az. Szerinted az.

te amikor raneztel a commit-ra (vagy akar magara a diff-re), meg tudtad allapitani, hogy ez nem egyszeruen DoS, hanem egy sulyos biztonsagi hiba? mert ha nem, akkor a fenti allaspontod vedhetetlen.

> Vajon akkor egy zárt forrású rendszernél ha titokban fixálnak, akkor az mi? Extra tussolásos titkolózás? :)

ugyanaz, ami a nyilt forrasu rendszereknel: marketing, latcat fenntartasa, emberi hiusag, stb. magyaran, nem a fejlesztesi modelltol fugg a biztonsagi hibakra adott reakcio, hanem az adott fejlesztok/cegek/stb hozzaallasatol. en eddig nem sok kulonbseget lattam Microsoft es Linux kozott (mint utaltam ra, van sok mas pelda is, ezt fentebb volt a legegyszerubb nyilvanosan elerheto forrasokbol dokumentalni).

"hanem egy sulyos biztonsagi hiba? mert ha nem, akkor a fenti allaspontod vedhetetlen."

Másról beszélük. Neked szerintem az fáj egy kicsit, hogy nem látsz be a vendor-sec listára. :)

"en eddig nem sok kulonbseget lattam Microsoft es Linux kozott "

Milyen téren? Nem látod a különbséget, hogy egyiknél látod, hogy mi történik a színfalak mögött, a másiknál meg nem? Akkor hogy a fenébe tudod, hogy konkrétan ezt eltussolták a Linuxban? Nem tudnád, ha nem látnád a commit-ot, ami megtörtént.
A Microsoft-os javítások esetén csak azt látod, amit bevallanak a havi bulletinben (kozmetikázva, ahogy bevallották nemrég). Ott esélyed nincs megnézni, hogy mi a fenét commit-olt XY ezek mellett a bevallott dolgok mellett titokban az adott hónapban (ugye te se hiszed, hogy csak annyit javítanak, mint amit látsz?), esélyed sincs utánanézni, hogy az melyik területen történt, mi lehet az oka a javításnak, és ha értesz hozzá, akkor sincs esélyed elemezni, mert nem férsz hozzá a kódhoz.

Ellenben egy nyílt forrású rendszernél van esélyed. Elég feliratkozni egy openbsd vagy freebsd cvs-commit listára. Vagy nézni a git-et.

Lehet, hogy lehetne jobban csinálni. De ez nekem mindenesetre jobban tetszik, mint a zárt forrású fejlesztés.

--
trey @ gépház

> Másról beszélük.

na ne. te mirol beszeltel akkor? mert arra reagaltal, amikor Hunger kijelentette, hogy:

> a fejlesztők direkt (vagy néha akár nem is készakarva) úgy
> commitolnak egy bugfixet, hogy nem írják oda mennyire súlyos hibát
> is javít

es szerinted:

> Onnantól, hogy nem titkos a cvs-commit lista, nem nevezhetjük sem
> titkosnak, sem eltussoltnak.

en *pontosan* ugyanerre hoztam egy masik, elo peldat, vagyis amikor az altalad nyilvanosnak es igaznak velt commit megse bizonyult egeszen pontosnak (hogy finoman fogalmazzak). szerintem a te problemad az, hogy egy kicsit alomvilagban elsz, ahol vannak a jo fiuk, akik peldamutatoan, mindig oszinten, a rossz fiuk vilagaban megszokottol eltero modon kezelik a biztonsagi hibakat, es amikor szembesulsz a bizonyitekokkal, akkor egyszeruen nehezedre esik belatni, hogy igen, rosszul gondoltad.

> Milyen téren?

amirol itt beszeltunk egyfolytaban? a biztonsagi hibak kezeleserol (konkretabban, ki mit tussol el a bejelentesekben)?

> Akkor hogy a fenébe tudod, hogy konkrétan ezt eltussolták a Linuxban?

ember... meleg van, vagy mi? ;-) elolvastad egyaltalan, hogy mi van a git commit-ban ill. a Red Hat bugzillaban (en is leirtam mondjuk)? latod a kulonbseget egy "local DoS" ill. egy "tetszoleges kernel memoria olvasas" kozott? latod a kulonbseget a Red Hat bugzillaban kulon megemlitett 64 bites kernel ill. ennek *teljes* hianyarol a git commitban kozott? miert nehez beismerni, hogy igen, ezt itt kerem szepen valaki eltussolta? megegyszer, nem az az eltussolas, hogy a commit-ban szerepel egy local DoS megjegyzes (mellesleg azt se epp a legfelreerthetetlenebb modon tettek), hanem az, hogy a javitott hiba sokkal sulyosabb, mint amilyennek feltuntettek, vagyis direkt elhallgattak.

> Ott esélyed nincs megnézni, hogy mi a fenét commit-olt XY ezek
> mellett a bevallott dolgok mellett titokban az adott hónapban

van eselyem megnezni. sok evvel ezelott, amikor a ma divatos security cegek meg Microsoft patch reverse engineerek meg nem is leteztek, nekem egyik feladatom volt az akkori cegemnel, hogy pont az ilyen dolgokat talaljam meg. nyilvan nem volt olyan hatekony, mintha forraskod lett volna a kezemben, de azert messze volt a 'semmi esely'-tol (kulonben nem pazaroltak volna ra eroforrast).

> (ugye te se hiszed, hogy csak annyit javítanak, mint amit látsz?)

pont ezt magyaraztam, hogy egyik kutya, masik eb. es nem azert, mert olvastam vagy hallottam valahol, hanem mert nap mint nap szembesulok vele.

> Ellenben egy nyílt forrású rendszernél van esélyed. Elég
> feliratkozni egy openbsd vagy freebsd cvs-commit listára.
> Vagy nézni a git-et.

en meg azt probaltam bemutatni, hogy nem eleg akkor, ha nem oszintek a commit bejegyzesek.

> Lehet, hogy lehetne jobban csinálni. De ez nekem mindenesetre
> jobban tetszik, mint a zárt forrású fejlesztés.

s/jobban/oszintebben/ es mindjart egyetertunk (fuggetlenul a fejlesztes modelljetol).

Szóval nincs különbség.

Tehát - javíts ki ha tévedek - kijelenthetjük, hogy a zárt forrású fejlesztés ugyanolyan átlátható (vagy nem kevésbé átlátható ha így tetszik) biztonsági szempontból egy outsider-nek, mint a nyílt forrás. Látjuk, hogy (szerinted) mindegyik oldalon kozmetikázzák a logokat. Ebben nincs különbség. Az meg, hogy az egyik oldalon olvasható a forráskód akár egy böngésző segítségével, a másik oldalon meg nem az nem is lényeges, hiszen úgyse tudja megállapítani senki, hogy mi mire való.

Vagy rosszul foglaltam össze a te meglátásodat?

--
trey @ gépház

>> Vagy rosszul foglaltam össze a te meglátásodat?

- a "nincs különbség" kijelentés helyett a "nincs esély" cáfolata hangzott el
- az, hogy egy outsider számára tökéletesen mindegy, hogy van-e forrás, mert már azt sem érti, nemhogy az elsumákolást észrevegye, az nyilvánvaló, nem is volt vita tárgya
- mindkét (?) oldalon kozmetikáznak: igen

"a "nincs különbség" kijelentés helyett a "nincs esély" cáfolata hangzott el"

PaXTeam-től:

"en eddig nem sok kulonbseget lattam Microsoft es Linux kozott "

"az, hogy egy outsider számára tökéletesen mindegy, hogy van-e forrás, mert már azt sem érti, nemhogy az elsumákolást észrevegye, az nyilvánvaló, nem is volt vita tárgya"

Outsider hozzáértő programozó. Nem, nem mindegy.

"- mindkét (?)"

Lásd a feljebbi idézetet.

--
trey @ gépház

> Vagy rosszul foglaltam össze a te meglátásodat?

igen. egyreszt mert nem az en meglatasomat foglaltad ossze, hanem a sajatodat, masreszt me'g ha az enyem is lett volna, en tuti nem mondtam semmi ilyet. en vegig a biztonsagi hibakra adott reakciokrol beszeltem, egy arva szot nem szoltam a kulonbozo fejlesztesi modellekrol, ezt valamiert te hoztad fel, nem en. az en egyetlen megjegyzesem a fejlesztesi modellekkel kapcsolatban az volt, hogy a szereplok egyforman hajlamosak eltussolni biztonsagi hibakat (magyaran, nem a modell szamit, hanem a hozzaallas, de ezt is leirtam mar korabban).

a konkret felveteseidhez:

> a zárt forrású fejlesztés ugyanolyan átlátható (vagy nem kevésbé
> átlátható ha így tetszik) biztonsági szempontból egy outsider-nek,
> mint a nyílt forrás

ill.

> Az meg, hogy az egyik oldalon olvasható a forráskód akár egy
> böngésző segítségével, a másik oldalon meg nem az nem is lényeges,
> hiszen úgyse tudja megállapítani senki, hogy mi mire való.

s/senki/felhasznalok 99.9999%-a/ es akkor kb. igy van. nem csak biztonsagi szempontbol mellesleg. te, aki valoszinuleg outsidernek tartod magad (nem vagy programozo legalabbis, nem foglalkozol forraskod vagy disassembly napi olvasgatasaval), semennyire nem vagy jobb helyzetben az Ubuntudon mint egy Windowson, egyikben folyo dolgokrol sincs fogalmad (most nem a slashdotra bedobott hirekrol beszelunk ugye, hanem arrol, ami a forras/binaris kodban tortenik).

nagyon torpe kisebbseg az, aki ugymond kepben van egy-egy konkret projekttel kapcsolatban (forras vagy binaris kod szinten) es pl. ranezesre meg tudja mondani, hogy egy forras ill. binaris kod valtozas mit eredmenyez az adott programban. a kodba kerulo biztonsagi hibak meg eppenseggel azt mutatjak, hogy meg ezek az emberek sem mindig tudjak eldonteni, jo-e az, amit elkovetni keszulnek. ha vki nem nezett volna utana, a hibas prctl kodot pl. Alan Cox irta (es elvileg sokan masok atneztek), orola pedig ugye nem azt tartjak, hogy nem ertene a kernelhez/biztonsaghoz.

> Látjuk, hogy (szerinted) mindegyik oldalon kozmetikázzák a logokat.

nem szerintem, hanem a tenyek szerint van igy. teljesen mindegy, hogy en minek akarom latni, ha egyszer a dolgok ugy vannak ahogy. ellenben neked ezt valahogy nagyon nem akarodzik elismerni ;-). felhoztam egy konkret hibat, bemutattam a tortenetet, de te valahogy nem valaszoltad meg a nem koltoi kerdest: szerinted ez nem a hiba igazi termeszetenek eltussolasa? valaszolnal erre a kerdesre egy egyertelmu igennel vagy nemmel? reszemrol ezzel lezarulna ez a szal.

"en vegig a biztonsagi hibakra adott reakciokrol beszeltem, egy arva szot nem szoltam a kulonbozo fejlesztesi modellekrol, ezt valamiert te hoztad fel, nem en."

Igen, mert én meg arról beszéltem végig, hogy teljesen értelmetlen sumákolásról beszélni nyílt forrású környezetben. Teljesen mindegy, hogy mit ír XY a kommit log mellé, mert egy kattintással egy - akár outsider - hozzáértő megállapítja, hogy kamu az egész.

"s/senki/felhasznalok 99.9999%-a/ es akkor kb. igy van."

Valóban, a 99.9999%-ka nem olvashatja az outsider-ek közül, és a senki az óriási különbség. Ezt hívják elhanyagolható különbségnek. Szőrözni persze lehet rajta.

". te, aki valoszinuleg outsidernek tartod magad (nem vagy programozo legalabbis, nem foglalkozol forraskod vagy disassembly napi olvasgatasaval), semennyire nem vagy jobb helyzetben az Ubuntudon mint egy Windowson,"

Ez így van, de ez nem jelenti azt, hogy ha az emberek nagy részének lövése sincs hozzá, akkor az összes felhasználónak lövése sincs hozzá. Vesd össze a te 99.9999%-oddal.

"ellenben neked ezt valahogy nagyon nem akarodzik elismerni ;-)."

Valóban nem, mert nem értek veled egyet. Azt hiszem, ez jogomban áll.

"felhoztam egy konkret hibat, bemutattam a tortenetet, de te valahogy nem valaszoltad meg a nem koltoi kerdest: szerinted ez nem a hiba igazi termeszetenek eltussolasa?"

Én egyedi esetekből (vagy évek alatt néhány esetből) nem következteték messzemenően semmire, és nem általánosítanék. Ez ilyen egyszerű. Ez nem csak a Linuxra, hanem a FreeBSD-re, OpenBSD-re és a többi nyílt rendszerre is vonatkozik. Mondhatnám, hogy akár a Windows-ra is, ha nem maguk ismerték volna be, hogy néha kozmetikáznak.

"valaszolnal erre a kerdesre egy egyertelmu igennel vagy nemmel?"

A válaszom: nem.

"reszemrol ezzel lezarulna ez a szal."

Részemről le is zárult. :)

--
trey @ gépház

> Igen, mert én meg arról beszéltem végig, hogy teljesen értelmetlen
> sumákolásról beszélni nyílt forrású környezetben. Teljesen mindegy,
> hogy mit ír XY a kommit log mellé, mert egy kattintással egy - akár
> outsider - hozzáértő megállapítja, hogy kamu az egész.

en meg pont azt bizonyitottam, hogy ennek ellenere megis elofordult, akkor talan megse olyan ertelmetlen beszelni rola.

> Valóban, a 99.9999%-ka nem olvashatja az outsider-ek közül, és a
> senki az óriási különbség. Ezt hívják elhanyagolható különbségnek.
> Szőrözni persze lehet rajta.

ez az 'elhanyagolhato kulonbseg' az, akik odafigyelnek es akik miatt egyaltalan kiderulnek az ilyen turpissagok. erdekes modon a kovetkezo mondatodban meg egyetertesz velem, a fene se ismeri ki magat rajtad ;-).

> Valóban nem, mert nem értek veled egyet. Azt hiszem, ez jogomban áll.

felolem azt hiszel, amit akarsz, de ha a nyilvanossag elott kifejted, akkor legyel kesz ervekkel alatamasztani. bar gondolom arra varhatok, mire elmagyarazod, hogy miert is olyan jo dolog direkt kihagyni a git commitbol a fontos biztonsagi hibarol szolo informaciot.

> Én egyedi esetekből (vagy évek alatt néhány esetből) nem következteték messzemenően semmire [...]

en se. amiert egyaltalan irtam az egeszrol az azert van, mert nem egyedi esetekrol van szo, nem veletlenul elkovetett bakikrol (marmint hogy kimaradt fontos informacio a commitbol), hanem tudatosan es tendenciozusan eltussolt hibakrol. ami nem csak nekem tunt fel mar, a legfrissebb pl. itt van (gondolom nem kell bemutatni a sracot, otole szarmazik a hires-hirhedt do_brk() bug/exploit, es jelenleg az egyik legjobb kernel hibavadasz ill. exploit iro, tudja mirol beszel). mas nyilt forrasu rendszerek sem jobbak, az OpenBSD-sek kifejezett sportot uznek abbol, hogy minel jobban agyonhallgassak a biztonsagi hibajavitasokat (tessek megnezni pl. a tavalyi copy*str() bug(ok) tortenetet, kesz kabare).

"van eselyem megnezni. sok evvel ezelott, amikor a ma divatos security cegek meg Microsoft patch reverse engineerek meg nem is leteztek, nekem egyik feladatom volt az akkori cegemnel, hogy pont az ilyen dolgokat talaljam meg. nyilvan nem volt olyan hatekony, mintha forraskod lett volna a kezemben, de azert messze volt a 'semmi esely'-tol (kulonben nem pazaroltak volna ra eroforrast)."

Szia!
Szeretném megkérdezni, hogy ilyen munkát magyarországon végeztél vagy külföldön? Egy régebbi postodban azt is irtad, ha jól emlkészem hogy IDS-t is fejlesztettél.
Egyáltalán vannak ilyen munkakörök itthon?
Üdv

Ez kemény.

A hír előtt 3 nappal már fixelt kernelem futott. Biztos túl jó barátja vagyok a Linu$ Tolvards-nak és nekem direkt elküldte előbb a patch-et, hogy kicseszhessen mindenki mással.

Lehet, hogy áttérek Windows 2003 Server-re, mert az a profik operációs rendszere. Csak sajnos a "cég" nem olyan vastag, hogy MSSQL és W2K3 licenszt vegyen nekem, hogy legyen min játszani a 800k HUF-os laptopjukon... A klinika elkülöníti rá a pénzt, és cserébe mondjuk egy szívműtéttel kevesebbet végeznek... Na kinek a hozzátartozója legyen az?

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

A hír előtt 3 nappal már fixelt kernelem futott.

Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.

Lehet, hogy áttérek Windows 2003 Server-re, mert az a profik operációs rendszere.

Hogy is jön egyébként ide megint a Windows 2003?

...

Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.

Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.

Remélem azért nem a második világháború óta ismerik.
Tudod más körökben pedig régóta ismert, javítatlan exploitok léteznek W alá...

Hogy is jön egyébként ide megint a Windows 2003?

Valahogy az sosem szar nálad - a *BSD-kkel és a Linux-szal ellentétben. Tudod ez nemcsak nekem tűnt fel - és itt most nem Nagypapára gondolok. Minden alkalmat kihasználsz, hogy a szóba kerülő összes oprendszert fikázd - kivéve a Windows-t.
Ne értsd félre, engem az nem zavar, hogy jobban szereted, mint a nyílt forráskódú szoftvereket. És amíg olyan cégnél dolgozol, amelyik licenszt biztosít neked W2k3-hoz és MSSQL-hez, addig kívánom, hogy örömmel használd. Tiszteletben tartom.
De neked sem kéne meglepődnöd azon, hogyha másnak esetleg nem jön be a fikázásod (ami a konkrét esetben alaptalan). Lehet, hogy ők például nem a W2k3-at tartják a legjobbnak. Különböznek tőled. Tiszteletben kéne őket tartanod.

Én sem megyek a pcforum-ra szidni a Windows-t. Az index-re pedig nem kell feltétlenül hasonlítania a HUP-nak egy külön bejáratú totaw-vel.

Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.
Kiváncsi vagyok, hogy mit szólnál ahhoz, hogyha mindenki olyan stílusban beszélne veled, mint te másokkal.

Már rég nem diskuráltam veled. Most rászántam egy kis időt. Ne aggódj, ritkán van ez így.

Végül fogadj el egy életmód vezetési tanácsot: szokj le a dohányzásról, ha dohányzol. Ezzel elkerülhetsz egykésőbbi infarktust, amivel a végén még orvoshoz kéne fordulnod.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

> Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.

Remélem azért nem a második világháború óta ismerik.

Tehát, még egyszer mondom, tanulj meg olvasni. A 'lassan 1 éve ismert' >< 'második világháború óta'.

Tudod más körökben pedig régóta ismert, javítatlan exploitok léteznek W alá...

Majd ha feltörik a Microsoft szerverét, akkor ezt szépen elmondhatod az erről szóló hírnél, most viszont továbbra se értem, hogy mi köze a Debian szerver feltörésével kapcsolatos cikkhez.

Nem lehet, hogy te anyázod folyamatosan a Windowst, anélkül, hogy bárki is szóba hozta volna rajtad kívül? Nagyapa 2.0 vagy, teljes egészében. Épp ezért is különös fintora a dolgoknak, hogy őt is megveted.

Valahogy az sosem szar nálad - a *BSD-kkel és a Linux-szal ellentétben.

ROTFL. Különösen vicces ezt olvasni úgy, hogy legfőképp *nix szerver admin vagyok... Lehet, hogy egyszerűen csak nem vagyok vakbuzgó fanatikus azzal az oprendszerrel amit használok?

Minden alkalmat kihasználsz, hogy a szóba kerülő összes oprendszert fikázd - kivéve a Windows-t.

Igen, Windowst/MS-t gyakran megvédem, mert sok az alaptalan vádaskodás és rágalmazás vele kapcsolatban, főleg a hozzád hasonló nagy szakértőknek köszönhetően.

Ellenben javaslom kereső használatát és annak ellenőrzését, hogy a több mint 4 év alatt én mennyi és milyen BSD-s híreket küldtem be a HUP-ra, majd ezt a műveletet legyél szíves megismételni a saját nickeddel szintén és elgondolkozni a látottakon.

Ne értsd félre, engem az nem zavar, hogy jobban szereted, mint a nyílt forráskódú szoftvereket.

Tetszik, hogy egyesek tudni vélik mit szeretek jobban.

De neked sem kéne meglepődnöd azon, hogyha másnak esetleg nem jön be a fikázásod (ami a konkrét esetben alaptalan).

Alaptalan? LOL. Mi is alaptalan egész pontosan?

Bizonyára PaXTeam is egy Windows/MS bérenc, hogy szintén ugyanígy látja a dolgokat...

> Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.
Kiváncsi vagyok, hogy mit szólnál ahhoz, hogyha mindenki olyan stílusban beszélne veled, mint te másokkal.

Ha jól emlékszem nem én írtam majd gyorsan kitöröltem, hogy 'te még a szívritmus szabályzódra is win2k3-at telepítenél!'... Vagy igen?

Végül fogadj el egy életmód vezetési tanácsot: szokj le a dohányzásról, ha dohányzol. Ezzel elkerülhetsz egykésőbbi infarktust, amivel a végén még orvoshoz kéne fordulnod.

Ez biztos valami korházas vicc, amit én nem érthetek...

Tehát, még egyszer mondom, tanulj meg olvasni. A 'lassan 1 éve ismert' >< 'második világháború óta'.
Szimpatikusan kerülöd a személyeskedést. Te valami eszméletlen nagy májer lehetsz.

Majd ha feltörik a Microsoft szerverét
Mert azt szerinted ugyanúgy meg fogjuk tudni.

továbbra se értem, hogy mi köze a Debian szerver
Nem mondm el még egyszer. Már leírtam a választ, csak nem akarod tudomásul venni.

te anyázod folyamatosan a Windowst
Hol anyáztam? Még csak rosszat se mondtam róla!

Nagyapa 2.0 vagy, teljes egészében. Épp ezért is különös fintora a dolgoknak, hogy őt is megveted.
Honnan veszed, hogy megvetem? Az is abban a mondatban van, amiben anyáztam a Windowst?

legfőképp *nix szerver admin vagyok...
Ezt tudom rólad, és emiatt is különösen érthetetlen a viselkedésed.

Lehet, hogy egyszerűen csak nem vagyok vakbuzgó fanatikus azzal az oprendszerrel amit használok?
Azért nálad van egy kivétel. Biztos fellélegzel, amikor egy hosszú munkanap végén a sok szar Unix után végre leülhetsz a mindennél biztonságosabb W2K3-ad elé.

Tetszik, hogy egyesek tudni vélik mit szeretek jobban.
Akkor úgy látszik, hogy rosszul fejezed ki magad, mert az összes hozzászólásod világosan kifejezi, hogy mit szeretsz igazán. Itt lenne az ideje egy nagy coming out-nak a pcforum-on.

több mint 4 év alatt én mennyi és milyen BSD-s híreket küldtem be a HUP-ra
Az hogy te BSD-s híreket publikálsz, az mire is jogosít fel pontosan, amit nekem (kisökörnek) nem szabad?

Mi is alaptalan egész pontosan?
Hogy szerinted a legutóbbi local root bug-ot nem jelentették be, meg nem készült belőle CVE, meg eltussolták, meg nem írták le a commit logban, hogy mennyire veszélyes is igazán, meg hogy mindenki aki nem fikázza a Linuxot, az imbecilis.

Bizonyára PaXTeam is egy Windows/MS bérenc
Köztetek van egy nagy különbség: PaXTeam már letett valamit az asztalra, ami javítja a biztonságot. Elismerem a tudását, és csak köszönni tudom az eddigi erőfeszítéseit. De ő mégse fröcsög és fikáz folyamatosan úgy, mint te...

Ha jól emlékszem nem én írtam majd gyorsan kitöröltem, hogy 'te még a szívritmus szabályzódra is win2k3-at telepítenél!'... Vagy igen?
Miért, nem?

Windowst/MS-t gyakran megvédem, mert sok az alaptalan vádaskodás és rágalmazás vele kapcsolatban
Én meg nem szoktam a Linux védelmére kelni, de most sajnos megtettem. Nem baj, legközelebb nem fog előfordulni.

Ez biztos valami korházas vicc, amit én nem érthetek.
Komolyan beszéltem, de úgy látszik nem érted.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Köztetek van egy nagy különbség: PaXTeam már letett valamit az asztalra, ami javítja a biztonságot. Elismerem a tudását, és csak köszönni tudom az eddigi erőfeszítéseit.

Értem. Tehát bár mindketten ugyanazt mondjuk PaXTeammel, az ő véleményét elfogadod, az enyémet (amely ugye az övével azonos) meg alaptalan fikázásnak tartod. Gratulálok.

Gondoltál már rá, hogy hülyét csinálsz magadból? :)

Értem. Tehát bár mindketten ugyanazt mondjuk PaXTeammel, az ő véleményét elfogadod, az enyémet (amely ugye az övével azonos) meg alaptalan fikázásnak tartod. Gratulálok.
Nem azt írtam, hogy köztetek csak ez az egy különbség van:

köztetek van egy nagy különbség >< köztetek csak egy különbség van

Biztos meg fogsz lepődni, de a Linux kernel security policy-ja nekem sem tetszik. Mint az a korábbi post-jaimből kitűnik, szerintem egy konkrét esetben alaptalan a fikázásod. Bár ezekre te úgy reagáltál, mintha nem értenéd, hogy mire gondolok. Meg terelni próbáltál.
Nem tartom a kritikádat alaptalannak. Paxteam korábban már vette fel a kontaktust kernel fejlesztőkkel security bug(ok) kapcsán, és rossz tapasztalatokat szerzett. Ugyanez tudtommal - javíts ki, ha rosszul tudom - rólad nem mondható el. Paxteam mégsem fikáz olyan elvakultan mint te.

Úgy érzem te mostmár csak azért se akarsz engem megérteni. Tényleg hülyét csinálok magamból, ha fölöslegesen írogatok neked tovább.

Szerintem ne húzzuk egymás idejét és ne koptassuk a klaviatúrát.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Az utolsó 10 hozzászólása értékelhetetlen volt, ahogy azt mások megjegyezték. Majd ha nekik is az lesz, mehetnek utána. A felfüggesztés ideiglenes, és ezentúl is élni fogok vele. Elegem van az öncélú, exhibicionista fröcsögésekből. Lehetőleg ezt ne itt tárgyaljuk meg, ha gondod van, légyszíves nyiss neki topikot a fórumban.

Ja, és nem ürügyet, hanem okot.

--
trey @ gépház

En az utobbi idoben mar nagyon unom amit muvelsz.
Es valoszinuleg nem en voltam az egyetlen.

Neha belegondolok abba, hogy idejon egy naiv kezdo linuxos es azt latja, hogy ez a szuper nyilt forrasu kozosseg milyen "osszetarto", "egyseges" stb.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

( syntern | 2006. 07. 12., sze – 22:20 )

Én nem értem. Hol itt a biztonság? No offense, de nem ismerem, hogy milyen userek férhettek hozzá, feltételezem azonban, hogy a rendszergazdák profik voltak...

"Hol itt a biztonság?"

Az interneten? Ne bohóckodjunk kérem. :)
Aki az interneten szolgáltatást üzemeltet, annak számolnia kell azzal, hogy felnyomják. 100% biztonság nincs. Elég ha kijön amerikában nappal egy hiba, lehet, hogy mire felkelek és megtudom, meg amire befoltozom, addigra már fel is nyomtak. Ez benne van a pakliban.
Én azt mondom, hogy akit fel akarnak nyomni, azt előbb-utóbb fel is fogják. Meg lehet nehezíteni a dolgukat, de ők egy lépéssel mindig előbb járnak (nyilván előbb van hiba felismerés -> adott esetben exploit, és csak utána jön a hibajavítás).

--
trey @ gépház

( wladek1 | 2006. 07. 12., sze – 22:32 )

Sokkal szerencsétlenebb dolog volna, ha a szerver luck.debian.org lenne... :)

( comet | 2006. 07. 13., cs – 06:20 )

Igazából arra vagyok kiváncsi, hogy mit backdooroltak, és mióta ha, backdooroltak. Sajnos pont tegnap apt-get updateltem az utóbbi két hétben először (persze lehet hogy mondjuk fél éve már backdoorolt egy alap package).

"Igen, mert te végigolvasod az összes bináris gépi kódot"

Checksum? Digitális aláírás? Máshol ez vidáman működik.

"Nyilvánvalóan nem vették volna még észre sem 60 millió usernél se, csak akkor ha elkezdik százával feltörni a debian gépeket a hibás csomag miatt."

Stable-nál probléma lehet, bár nem követem már egy ideje a Debian-t. Az etch-ben már állítolag lesz secure apt.

--
trey @ gépház

Checksum? Digitális aláírás? Máshol ez vidáman működik.

A kérdés ilyen esetben mindig nyilván az, hogy a betörő az aláíráshoz szükséges privát kulcshoz nem szerzett-e hozzáférést, mert ha igen, akkor a backdooros csomagról ő is képes létrehozni érvényesnek tűnő aláírást. Checksum esetén pedig még privát kulcsra sincs szükség, ugye... ;)

"Checksum? Digitális aláírás? Máshol ez vidáman működik."

Ha megtöröd a fejlesztői gépet, akkor 1. lehet hogy megszerzed a digitális aláírást, de sokkal egyszerűbb ha csak hagyod, hogy végigmenjen a procedúra normálisan, egy új verzió kijövetele során (ami persze tartalmazza a rosszindulatú kódot is), és akkor szépen fogja a debianos emberke és aláírja.

"Igen, mert te végigolvasod az összes bináris gépi kódot"

Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást". Úgy láttam, hogy neked ez nem annyira egyértelmű. Abban egyetértünk, hogy minden biztonsági megoldás annyit ér, amennyire betartják a biztosnági előírásokat.

"Ha megtöröd a fejlesztői gépet, akkor 1. lehet hogy megszerzed a digitális aláírást,"

Jah, ha ellopod valakinek a hitelkártyáját, lehet, hogy alkoholos filccel rá van írva a PIN kód. Az ég kék, a víz nedves ...

"de sokkal egyszerűbb ha csak hagyod, hogy végigmenjen a procedúra normálisan, egy új verzió kijövetele során (ami persze tartalmazza a rosszindulatú kódot is), és akkor szépen fogja a debianos emberke és aláírja."

Ott is checksum-olnak. Nem hiszem, hogy erre nagy esély lenne. Elvileg elképzelhető. De ez nem zárható ki egyetlen más projekt, operációs rendszer, vagy bármilyen program esetében sem. Lásd OpenSSH backdoor. Érdekes módon azt egy checksum ellenőrzés "fogta meg".

--
trey @ gépház

"Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást"."

Ez hülyeség. Itt nem a feleslegességről van szó, hanem arról, hogy mennyire lehet megbízni most egy konkrét debian csomagban. A hatvanmillió user példára írtam, hogy nyilván nem fogják a bináris kódot végigolvasni az emberek. Ez egyébként nem lenne felesleges, csak nem praktikus.

A végigolvasás feleslegessége alapvetően attól függ, hogy mennyire bízol meg azt ezt kiváltó procedúrákban. Én általában megbíznék egy debiantól jövő aláírt, checksumolt csomagban, ha most épp nem törték volna fel a fejlesztői szerverüket. Nyilván én is ismerem az általában használt technikákat, te azt nem érted meg, hogy ez most miért nem tekinthető elegendő védelemnek.

"Ott is checksum-olnak."

Mit checksumolnak? Azon a gondolatmeneten, hogy a debian csomagfelelős lefordítja az új verzióját x csomagnak, checksumolja, majd elmegy aludni, jön a crackerünk, megpatcheli a forrást, lefordítja a rootolt kódot, legenerálja újra a checksumot, másnap fogja a fejlesztő és normál procedúrával kitolja a csomagot benne a rootkittel, mit nem lehet érteni? Ha akár minden lépést checksumolnak és mondjuk komplikálják a procedúrát, akkor is meg tudja backdoorolni a csomagot a crackerünk, ha akarja és nem hülye. Alapvetően a tényállás az, hogy ő (is) uralja a rendszert és bármi ami onnan jön, not-to-be trusted.

Itt nem elvi eshetőségről beszélünk, hanem arról, hogy felfedezték, hogy megtörték a debian fejlesztői szervert, és annak lehetséges következményeiről.

Egyébként nyugodtan fogalmazz barátságosabb stílusban, nem kell így nekem esni...

Én meg arról beszéltem, hogy felfedezték, hogy megtörték az OpenBSD ftp szervert, backdoor-t tettek az OpenSSH-ba, és mégis user fedezte fel és jelentette a backdoor-t. Ebben az esetben működött a checksum. Lám, a világ látott már ilyet is. Ez nem fikció, hanem megtörtént eset.

A checksum kombinálva digitális aláírással és egyéb dolgokkal valamilyen védelmet nyújthat. Nyilván, különben nem használnák.

--
trey @ gépház