- cvs
- ddtp
- lintian
- people
- popcon
- planet
- ports
- release
A Debian projekt gépen a bejelentkezési lehetőséget fagyasztották, amíg ki nem vizsgálják
milyen módon törték meg a gépet és mit érint a dolog.
A bejelentés itt. Sajnos nem ez volt az első alkalom.
(A hírért köszönet gcs-nek.)
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Sajnos nem ez volt az első alkalom.
Sajnos nem és valószínűleg nem is az utolsó... :\
Ellenben nagyon pozitív dolog a Debiantól, hogy mihamarabb információkkal szolgálnak az esetről. Kár, hogy ezt a full-disclosure elvet a Linux kernel fejlesztők nem követik ilyen példa értékű módon.
- A hozzászóláshoz be kell jelentkezni
> Kár, hogy ezt a full-disclosure elvet a Linux kernel fejlesztők nem követik ilyen példa értékű módon.
Mint például?
- A hozzászóláshoz be kell jelentkezni
Hagy ne kelljen felsorolnom... Az összes Linux kernel sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)
- A hozzászóláshoz be kell jelentkezni
"Szerző: Hunger
Dátum: sze, 2006-07-12 23:13
Hagy ne kelljen felsorolnom... Az összes Linux kernel sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)
"
Már megbocsáss, de véletlenül nem Microsoftot akartál írni?
Elbagatellizálják a hiba komolyságát, és/vagy a hiba felfedezése után fél évre rá jön ki a javítás. És a másik, hogy a javítás nem működik, mire kijön a javítás javítása.... stb.
Szerintem bizonyosan ilyen dolgok járhattak a fejedben amikor a fentieket írtad.
Semmi gond, hiszen ez olyan "feltételes reflex" mint amikor egy személy azt mondta: "Nem Linux ez, hogy mindíg újra kelljen telepíteni"
Mindenesetre jó tiszta vizet önteni a pohárba, mert a végén még a Linux az amelyik vírusos, amelyik kék képernyőt dob ha valami hiba van, stb...
Máskülönben (ha jól emlékszem) az MS francia oldalát is feltörték nemrég.
Így hát: Hagy ne kelljen felsorolnom... Az összes windows sebezhetőség ilyen, a fejlesztők szép csendben szeretik az ilyet eltusolni, ahelyett, hogy rendes hibajegyet adnának ki a problémákról. Most is csak azért voltak kénytelenek meglépni ezt, mert köztudottá vált a probléma. ;)
- A hozzászóláshoz be kell jelentkezni
Senki nem írta, hogy a Microsoft jobb lenne, de hogy jön ide most az MS egy Debian hírnél?
A "feltételes reflex" az, hogy te bármilyen jellegű hírre egyből az MS-t fukkolod...
- A hozzászóláshoz be kell jelentkezni
A lenyeg, hogy trey meglatasanak megfelel amit ir.
- A hozzászóláshoz be kell jelentkezni
Ez nem igaz. Akit érdekelnek a biztonsági javítások, azok tudják, hogy hol kell utánanézni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Na, ez nem így van sajnos, tekintve, hogy nem minden bugfix lesz biztonsági javításnak minősítve és nem készül róla advistory.
Könnyen eltudnám képzelni, hogy a mostani eset mögött is egy elsumákolt sebezhetőség van...
- A hozzászóláshoz be kell jelentkezni
Advisory nem készül róla, van git, vagy changelog amiben mindig ott a CVE id. Utána lehet nézni. Aki ezzel foglalkozik, az tudja, hogy mit kell nézni. Különben is viccesnek tűnik számomra egy nyílt forrású projektnél az "eltitkolás", mint fogalom. Az való igaz, hogy a Népszabadságban nem jelenik meg. Na de kérdem én, meg kellene ott jelennie?
"Könnyen eltudnám képzelni, hogy a mostani eset mögött is egy elsumákolt sebezhetőség van..."
Szerintem semmilyen eltitkolt dolog nincs mögött. Szerintem egyszerűen felnyomta valaki a gépet azzal a local root exploittal ami közkézen forog. Elképzelhető, hogy gyorsabb volt az illető, amint a rendszergazda. Ez könnyen előfordulhat. Ez ellen védekezni meglehetősen nehéz. Azoknak a gépeknek ahova egynél több embernek van hozzáférése, túros a háta. Ezeket ennek megfelelően kell kezelni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha nem lesz biztonsági javításnak minősítve, akkor nem készül róla CVE bejegyzés sem. :)
Eltitkolás pedig bár mennyire furcsának is tűnik open source esetében is működik. Egyszerűen arról van szó, hogy a fejlesztők direkt (vagy néha akár nem is készakarva) úgy commitolnak egy bugfixet, hogy nem írják oda mennyire súlyos hibát is javít (sok esetben talán ők sincsenek ezzel teljesen tisztában). Ha pedig nekik sem mindig világos, hogy mennyire kihasználható egy adott hibából eredő sebezhetőség, akkor gondolhatod, hogy másnak sem lesz annyira egyszerű eldönteni, aki esetleg figyelemmel is próbálja követni a fejlesztést. A commitok folyamatos figyelése egyébként szintén nem triviális feladat, mivel egy-egy 2.6-os verzió közötti diff sok esetben akár 30 megás is szokott lenni. Senki nem tud átnézni ekkora kódmennyiséget ennyi idő alatt. Jó példa erre ez a remek Copyright sor a cifs_unicode.h-ban, amely régebben került véletlenül módosításra egy commit során és senki sem vette észre. Pedig gondolhatod, hogy egy ilyet könyebb észrevenni, mint egy security bugot... ;)
- A hozzászóláshoz be kell jelentkezni
"commitolnak egy bugfixet,"
Onnantól, hogy nem titkos a cvs-commit lista, nem nevezhetjük sem titkosnak, sem eltussoltnak.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Azért lehet eltusoltnak/eltitkoltnak nevezni, mert nem hozzák nyilvánosságra minden esetben (csak ha már publikussá válik más csatornákon keresztül, akkor megerősítik a hírt), hogy egy commitolt bugfix mennyire súlyos sebezhetőséget javít. Sok esetben ráadásul egy kihasználható hibát direkt úgy javítanak, hogy a commithoz fűzött szövegből véletlenül se gondolja a fejlesztést figyelemmel kísérő ember, hogy a bugfix mit is takar pontosan. Erről egyébként 2 éve küldtem is be egy cikket...
És mielőtt megint valaki nekem esik, hogy én direkt csak Linux lejárató cikkeket küldök be és ilyen hozzászólásokat posztolok csak, annak felhívnám a figyelmét arra, hogy OpenBSD-nél sem jobb a helyzet ilyen téren és ennek is hangot szoktam adni, kivétel nélkül.
És igen, az MS is sok javítást eltitkol a patcheiben, neki is a kurva anyját! :)
- A hozzászóláshoz be kell jelentkezni
Tudod mit? Legyen igazad. El van tussolva.
(addig úgysem nyugszol.)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem tudom egyébként, hogy miért olyan nehéz ezt elhinni... Érdekből teszik.
- A hozzászóláshoz be kell jelentkezni
Linux monnyon le!
Nem vagy kicsit dehidrált?
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Tanulj meg olvasni, aztán utána ess neki ennek mégegyszer (segítek: második bekezdés).
- A hozzászóláshoz be kell jelentkezni
Szerintem pedig neked kéne újból elővenni az olvasókönyvet és ismételni egy kicsit, majd utána vetni egy pillantást erre az oldalra:
Link a szóban forgó hiba git bejegyzésére
Elsőként vedd észre, hogy az első sorban szerepel a hiba CVE bejegyzésének száma, másrészt az utolsó sorban fel van tüntetve a hiba local root jellege.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Megint másról beszélsz.
- A hozzászóláshoz be kell jelentkezni
barcsak igazad lenne. de a valo elet mast mutat (es az csak egy kiragadott pelda volt, raadasul nem is a legrosszabb, mert ez legalabb bekerult a CVE-be, ami nem mindenre igaz...).
- A hozzászóláshoz be kell jelentkezni
Kár, hogy ezt július 6-án fixálták és be is jelentették. Nem látom a titkolózást.
Vagy nem értem mit akarsz mondani. Arról volt szó, hogy eltussulják. Ennek ellenére, én senkiházi !security expert tudtam róla.
Szerk: ja tovább olvastam. Ahogy látom nem nagyon értettek egyet veled. Nézőpont kérdese. Kinek mi a titkolózás. Ha el tudod olvasni a commit-ot szerintem nem az. Szerinted az. Vajon akkor egy zárt forrású rendszernél ha titokban fixálnak, akkor az mi? Extra tussolásos titkolózás? :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
> ja tovább olvastam. Ahogy látom nem nagyon értettek egyet veled.
kik nem ertettek velem egyet? *egyetlen* emberke probalt hadakozni, es a vegen nagyon csendben maradt, amikor rajott, hogy az, amit 'it is possible for userspace to provoke a machine check on 32-bit kernels'-nek irtak a commit logban, az valojaban tetszoleges kernel memoria olvasasi hiba 64 bites kerneleken (amirol a commit egy arva kukkot nem szol). szerinted ez nem a hiba igazi termeszetenek eltussolasa?
> Nézőpont kérdese. Kinek mi a titkolózás. Ha el tudod olvasni a commit-ot szerintem nem az. Szerinted az.
te amikor raneztel a commit-ra (vagy akar magara a diff-re), meg tudtad allapitani, hogy ez nem egyszeruen DoS, hanem egy sulyos biztonsagi hiba? mert ha nem, akkor a fenti allaspontod vedhetetlen.
> Vajon akkor egy zárt forrású rendszernél ha titokban fixálnak, akkor az mi? Extra tussolásos titkolózás? :)
ugyanaz, ami a nyilt forrasu rendszereknel: marketing, latcat fenntartasa, emberi hiusag, stb. magyaran, nem a fejlesztesi modelltol fugg a biztonsagi hibakra adott reakcio, hanem az adott fejlesztok/cegek/stb hozzaallasatol. en eddig nem sok kulonbseget lattam Microsoft es Linux kozott (mint utaltam ra, van sok mas pelda is, ezt fentebb volt a legegyszerubb nyilvanosan elerheto forrasokbol dokumentalni).
- A hozzászóláshoz be kell jelentkezni
"hanem egy sulyos biztonsagi hiba? mert ha nem, akkor a fenti allaspontod vedhetetlen."
Másról beszélük. Neked szerintem az fáj egy kicsit, hogy nem látsz be a vendor-sec listára. :)
"en eddig nem sok kulonbseget lattam Microsoft es Linux kozott "
Milyen téren? Nem látod a különbséget, hogy egyiknél látod, hogy mi történik a színfalak mögött, a másiknál meg nem? Akkor hogy a fenébe tudod, hogy konkrétan ezt eltussolták a Linuxban? Nem tudnád, ha nem látnád a commit-ot, ami megtörtént.
A Microsoft-os javítások esetén csak azt látod, amit bevallanak a havi bulletinben (kozmetikázva, ahogy bevallották nemrég). Ott esélyed nincs megnézni, hogy mi a fenét commit-olt XY ezek mellett a bevallott dolgok mellett titokban az adott hónapban (ugye te se hiszed, hogy csak annyit javítanak, mint amit látsz?), esélyed sincs utánanézni, hogy az melyik területen történt, mi lehet az oka a javításnak, és ha értesz hozzá, akkor sincs esélyed elemezni, mert nem férsz hozzá a kódhoz.
Ellenben egy nyílt forrású rendszernél van esélyed. Elég feliratkozni egy openbsd vagy freebsd cvs-commit listára. Vagy nézni a git-et.
Lehet, hogy lehetne jobban csinálni. De ez nekem mindenesetre jobban tetszik, mint a zárt forrású fejlesztés.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
> Másról beszélük.
na ne. te mirol beszeltel akkor? mert arra reagaltal, amikor Hunger kijelentette, hogy:
> a fejlesztők direkt (vagy néha akár nem is készakarva) úgy
> commitolnak egy bugfixet, hogy nem írják oda mennyire súlyos hibát
> is javít
es szerinted:
> Onnantól, hogy nem titkos a cvs-commit lista, nem nevezhetjük sem
> titkosnak, sem eltussoltnak.
en *pontosan* ugyanerre hoztam egy masik, elo peldat, vagyis amikor az altalad nyilvanosnak es igaznak velt commit megse bizonyult egeszen pontosnak (hogy finoman fogalmazzak). szerintem a te problemad az, hogy egy kicsit alomvilagban elsz, ahol vannak a jo fiuk, akik peldamutatoan, mindig oszinten, a rossz fiuk vilagaban megszokottol eltero modon kezelik a biztonsagi hibakat, es amikor szembesulsz a bizonyitekokkal, akkor egyszeruen nehezedre esik belatni, hogy igen, rosszul gondoltad.
> Milyen téren?
amirol itt beszeltunk egyfolytaban? a biztonsagi hibak kezeleserol (konkretabban, ki mit tussol el a bejelentesekben)?
> Akkor hogy a fenébe tudod, hogy konkrétan ezt eltussolták a Linuxban?
ember... meleg van, vagy mi? ;-) elolvastad egyaltalan, hogy mi van a git commit-ban ill. a Red Hat bugzillaban (en is leirtam mondjuk)? latod a kulonbseget egy "local DoS" ill. egy "tetszoleges kernel memoria olvasas" kozott? latod a kulonbseget a Red Hat bugzillaban kulon megemlitett 64 bites kernel ill. ennek *teljes* hianyarol a git commitban kozott? miert nehez beismerni, hogy igen, ezt itt kerem szepen valaki eltussolta? megegyszer, nem az az eltussolas, hogy a commit-ban szerepel egy local DoS megjegyzes (mellesleg azt se epp a legfelreerthetetlenebb modon tettek), hanem az, hogy a javitott hiba sokkal sulyosabb, mint amilyennek feltuntettek, vagyis direkt elhallgattak.
> Ott esélyed nincs megnézni, hogy mi a fenét commit-olt XY ezek
> mellett a bevallott dolgok mellett titokban az adott hónapban
van eselyem megnezni. sok evvel ezelott, amikor a ma divatos security cegek meg Microsoft patch reverse engineerek meg nem is leteztek, nekem egyik feladatom volt az akkori cegemnel, hogy pont az ilyen dolgokat talaljam meg. nyilvan nem volt olyan hatekony, mintha forraskod lett volna a kezemben, de azert messze volt a 'semmi esely'-tol (kulonben nem pazaroltak volna ra eroforrast).
> (ugye te se hiszed, hogy csak annyit javítanak, mint amit látsz?)
pont ezt magyaraztam, hogy egyik kutya, masik eb. es nem azert, mert olvastam vagy hallottam valahol, hanem mert nap mint nap szembesulok vele.
> Ellenben egy nyílt forrású rendszernél van esélyed. Elég
> feliratkozni egy openbsd vagy freebsd cvs-commit listára.
> Vagy nézni a git-et.
en meg azt probaltam bemutatni, hogy nem eleg akkor, ha nem oszintek a commit bejegyzesek.
> Lehet, hogy lehetne jobban csinálni. De ez nekem mindenesetre
> jobban tetszik, mint a zárt forrású fejlesztés.
s/jobban/oszintebben/ es mindjart egyetertunk (fuggetlenul a fejlesztes modelljetol).
- A hozzászóláshoz be kell jelentkezni
Szóval nincs különbség.
Tehát - javíts ki ha tévedek - kijelenthetjük, hogy a zárt forrású fejlesztés ugyanolyan átlátható (vagy nem kevésbé átlátható ha így tetszik) biztonsági szempontból egy outsider-nek, mint a nyílt forrás. Látjuk, hogy (szerinted) mindegyik oldalon kozmetikázzák a logokat. Ebben nincs különbség. Az meg, hogy az egyik oldalon olvasható a forráskód akár egy böngésző segítségével, a másik oldalon meg nem az nem is lényeges, hiszen úgyse tudja megállapítani senki, hogy mi mire való.
Vagy rosszul foglaltam össze a te meglátásodat?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
>> Vagy rosszul foglaltam össze a te meglátásodat?
- a "nincs különbség" kijelentés helyett a "nincs esély" cáfolata hangzott el
- az, hogy egy outsider számára tökéletesen mindegy, hogy van-e forrás, mert már azt sem érti, nemhogy az elsumákolást észrevegye, az nyilvánvaló, nem is volt vita tárgya
- mindkét (?) oldalon kozmetikáznak: igen
- A hozzászóláshoz be kell jelentkezni
"a "nincs különbség" kijelentés helyett a "nincs esély" cáfolata hangzott el"
PaXTeam-től:
"en eddig nem sok kulonbseget lattam Microsoft es Linux kozott "
"az, hogy egy outsider számára tökéletesen mindegy, hogy van-e forrás, mert már azt sem érti, nemhogy az elsumákolást észrevegye, az nyilvánvaló, nem is volt vita tárgya"
Outsider hozzáértő programozó. Nem, nem mindegy.
"- mindkét (?)"
Lásd a feljebbi idézetet.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Outsider hozzáértő programozó. Nem, nem mindegy."
Igen? És ha nem?..mint általában.
(Nem a sysadmin NEM programozó, és nem érdekli a git! (sem))
- A hozzászóláshoz be kell jelentkezni
> Vagy rosszul foglaltam össze a te meglátásodat?
igen. egyreszt mert nem az en meglatasomat foglaltad ossze, hanem a sajatodat, masreszt me'g ha az enyem is lett volna, en tuti nem mondtam semmi ilyet. en vegig a biztonsagi hibakra adott reakciokrol beszeltem, egy arva szot nem szoltam a kulonbozo fejlesztesi modellekrol, ezt valamiert te hoztad fel, nem en. az en egyetlen megjegyzesem a fejlesztesi modellekkel kapcsolatban az volt, hogy a szereplok egyforman hajlamosak eltussolni biztonsagi hibakat (magyaran, nem a modell szamit, hanem a hozzaallas, de ezt is leirtam mar korabban).
a konkret felveteseidhez:
> a zárt forrású fejlesztés ugyanolyan átlátható (vagy nem kevésbé
> átlátható ha így tetszik) biztonsági szempontból egy outsider-nek,
> mint a nyílt forrás
ill.
> Az meg, hogy az egyik oldalon olvasható a forráskód akár egy
> böngésző segítségével, a másik oldalon meg nem az nem is lényeges,
> hiszen úgyse tudja megállapítani senki, hogy mi mire való.
s/senki/felhasznalok 99.9999%-a/ es akkor kb. igy van. nem csak biztonsagi szempontbol mellesleg. te, aki valoszinuleg outsidernek tartod magad (nem vagy programozo legalabbis, nem foglalkozol forraskod vagy disassembly napi olvasgatasaval), semennyire nem vagy jobb helyzetben az Ubuntudon mint egy Windowson, egyikben folyo dolgokrol sincs fogalmad (most nem a slashdotra bedobott hirekrol beszelunk ugye, hanem arrol, ami a forras/binaris kodban tortenik).
nagyon torpe kisebbseg az, aki ugymond kepben van egy-egy konkret projekttel kapcsolatban (forras vagy binaris kod szinten) es pl. ranezesre meg tudja mondani, hogy egy forras ill. binaris kod valtozas mit eredmenyez az adott programban. a kodba kerulo biztonsagi hibak meg eppenseggel azt mutatjak, hogy meg ezek az emberek sem mindig tudjak eldonteni, jo-e az, amit elkovetni keszulnek. ha vki nem nezett volna utana, a hibas prctl kodot pl. Alan Cox irta (es elvileg sokan masok atneztek), orola pedig ugye nem azt tartjak, hogy nem ertene a kernelhez/biztonsaghoz.
> Látjuk, hogy (szerinted) mindegyik oldalon kozmetikázzák a logokat.
nem szerintem, hanem a tenyek szerint van igy. teljesen mindegy, hogy en minek akarom latni, ha egyszer a dolgok ugy vannak ahogy. ellenben neked ezt valahogy nagyon nem akarodzik elismerni ;-). felhoztam egy konkret hibat, bemutattam a tortenetet, de te valahogy nem valaszoltad meg a nem koltoi kerdest: szerinted ez nem a hiba igazi termeszetenek eltussolasa? valaszolnal erre a kerdesre egy egyertelmu igennel vagy nemmel? reszemrol ezzel lezarulna ez a szal.
- A hozzászóláshoz be kell jelentkezni
"en vegig a biztonsagi hibakra adott reakciokrol beszeltem, egy arva szot nem szoltam a kulonbozo fejlesztesi modellekrol, ezt valamiert te hoztad fel, nem en."
Igen, mert én meg arról beszéltem végig, hogy teljesen értelmetlen sumákolásról beszélni nyílt forrású környezetben. Teljesen mindegy, hogy mit ír XY a kommit log mellé, mert egy kattintással egy - akár outsider - hozzáértő megállapítja, hogy kamu az egész.
"s/senki/felhasznalok 99.9999%-a/ es akkor kb. igy van."
Valóban, a 99.9999%-ka nem olvashatja az outsider-ek közül, és a senki az óriási különbség. Ezt hívják elhanyagolható különbségnek. Szőrözni persze lehet rajta.
". te, aki valoszinuleg outsidernek tartod magad (nem vagy programozo legalabbis, nem foglalkozol forraskod vagy disassembly napi olvasgatasaval), semennyire nem vagy jobb helyzetben az Ubuntudon mint egy Windowson,"
Ez így van, de ez nem jelenti azt, hogy ha az emberek nagy részének lövése sincs hozzá, akkor az összes felhasználónak lövése sincs hozzá. Vesd össze a te 99.9999%-oddal.
"ellenben neked ezt valahogy nagyon nem akarodzik elismerni ;-)."
Valóban nem, mert nem értek veled egyet. Azt hiszem, ez jogomban áll.
"felhoztam egy konkret hibat, bemutattam a tortenetet, de te valahogy nem valaszoltad meg a nem koltoi kerdest: szerinted ez nem a hiba igazi termeszetenek eltussolasa?"
Én egyedi esetekből (vagy évek alatt néhány esetből) nem következteték messzemenően semmire, és nem általánosítanék. Ez ilyen egyszerű. Ez nem csak a Linuxra, hanem a FreeBSD-re, OpenBSD-re és a többi nyílt rendszerre is vonatkozik. Mondhatnám, hogy akár a Windows-ra is, ha nem maguk ismerték volna be, hogy néha kozmetikáznak.
"valaszolnal erre a kerdesre egy egyertelmu igennel vagy nemmel?"
A válaszom: nem.
"reszemrol ezzel lezarulna ez a szal."
Részemről le is zárult. :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
> Igen, mert én meg arról beszéltem végig, hogy teljesen értelmetlen
> sumákolásról beszélni nyílt forrású környezetben. Teljesen mindegy,
> hogy mit ír XY a kommit log mellé, mert egy kattintással egy - akár
> outsider - hozzáértő megállapítja, hogy kamu az egész.
en meg pont azt bizonyitottam, hogy ennek ellenere megis elofordult, akkor talan megse olyan ertelmetlen beszelni rola.
> Valóban, a 99.9999%-ka nem olvashatja az outsider-ek közül, és a
> senki az óriási különbség. Ezt hívják elhanyagolható különbségnek.
> Szőrözni persze lehet rajta.
ez az 'elhanyagolhato kulonbseg' az, akik odafigyelnek es akik miatt egyaltalan kiderulnek az ilyen turpissagok. erdekes modon a kovetkezo mondatodban meg egyetertesz velem, a fene se ismeri ki magat rajtad ;-).
> Valóban nem, mert nem értek veled egyet. Azt hiszem, ez jogomban áll.
felolem azt hiszel, amit akarsz, de ha a nyilvanossag elott kifejted, akkor legyel kesz ervekkel alatamasztani. bar gondolom arra varhatok, mire elmagyarazod, hogy miert is olyan jo dolog direkt kihagyni a git commitbol a fontos biztonsagi hibarol szolo informaciot.
> Én egyedi esetekből (vagy évek alatt néhány esetből) nem következteték messzemenően semmire [...]
en se. amiert egyaltalan irtam az egeszrol az azert van, mert nem egyedi esetekrol van szo, nem veletlenul elkovetett bakikrol (marmint hogy kimaradt fontos informacio a commitbol), hanem tudatosan es tendenciozusan eltussolt hibakrol. ami nem csak nekem tunt fel mar, a legfrissebb pl. itt van (gondolom nem kell bemutatni a sracot, otole szarmazik a hires-hirhedt do_brk() bug/exploit, es jelenleg az egyik legjobb kernel hibavadasz ill. exploit iro, tudja mirol beszel). mas nyilt forrasu rendszerek sem jobbak, az OpenBSD-sek kifejezett sportot uznek abbol, hogy minel jobban agyonhallgassak a biztonsagi hibajavitasokat (tessek megnezni pl. a tavalyi copy*str() bug(ok) tortenetet, kesz kabare).
- A hozzászóláshoz be kell jelentkezni
"van eselyem megnezni. sok evvel ezelott, amikor a ma divatos security cegek meg Microsoft patch reverse engineerek meg nem is leteztek, nekem egyik feladatom volt az akkori cegemnel, hogy pont az ilyen dolgokat talaljam meg. nyilvan nem volt olyan hatekony, mintha forraskod lett volna a kezemben, de azert messze volt a 'semmi esely'-tol (kulonben nem pazaroltak volna ra eroforrast)."
Szia!
Szeretném megkérdezni, hogy ilyen munkát magyarországon végeztél vagy külföldön? Egy régebbi postodban azt is irtad, ha jól emlkészem hogy IDS-t is fejlesztettél.
Egyáltalán vannak ilyen munkakörök itthon?
Üdv
- A hozzászóláshoz be kell jelentkezni
kulfoldon volt es nem IDS, hanem 'vulnerability assessment' temaban. oszinten szolva nem tudom, hogy mi letezik ilyenbol Mo-on, de ha szamitogepes biztonsaggal kapcsolatos karrier erdekel, akkor jobban jarsz, ha kulfoldon probalkozol.
- A hozzászóláshoz be kell jelentkezni
túros
- A hozzászóláshoz be kell jelentkezni
Nem értek a lovakhoz :-DD
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
btw Boncz:
- Előbb-útóbb rákerül a túr a gumira ! :-D
- A hozzászóláshoz be kell jelentkezni
És mi van ha a fejlesztők "vegetariánusok" és kizárólag tejtermékeken élnek? ;))))
--
Fel! Támadunk!
- A hozzászóláshoz be kell jelentkezni
Ez kemény.
A hír előtt 3 nappal már fixelt kernelem futott. Biztos túl jó barátja vagyok a Linu$ Tolvards-nak és nekem direkt elküldte előbb a patch-et, hogy kicseszhessen mindenki mással.
Lehet, hogy áttérek Windows 2003 Server-re, mert az a profik operációs rendszere. Csak sajnos a "cég" nem olyan vastag, hogy MSSQL és W2K3 licenszt vegyen nekem, hogy legyen min játszani a 800k HUF-os laptopjukon... A klinika elkülöníti rá a pénzt, és cserébe mondjuk egy szívműtéttel kevesebbet végeznek... Na kinek a hozzátartozója legyen az?
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
A hír előtt 3 nappal már fixelt kernelem futott.
Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.
Lehet, hogy áttérek Windows 2003 Server-re, mert az a profik operációs rendszere.
Hogy is jön egyébként ide megint a Windows 2003?
...
Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.
- A hozzászóláshoz be kell jelentkezni
Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.
Remélem azért nem a második világháború óta ismerik.
Tudod más körökben pedig régóta ismert, javítatlan exploitok léteznek W alá...
Hogy is jön egyébként ide megint a Windows 2003?
Valahogy az sosem szar nálad - a *BSD-kkel és a Linux-szal ellentétben. Tudod ez nemcsak nekem tűnt fel - és itt most nem Nagypapára gondolok. Minden alkalmat kihasználsz, hogy a szóba kerülő összes oprendszert fikázd - kivéve a Windows-t.
Ne értsd félre, engem az nem zavar, hogy jobban szereted, mint a nyílt forráskódú szoftvereket. És amíg olyan cégnél dolgozol, amelyik licenszt biztosít neked W2k3-hoz és MSSQL-hez, addig kívánom, hogy örömmel használd. Tiszteletben tartom.
De neked sem kéne meglepődnöd azon, hogyha másnak esetleg nem jön be a fikázásod (ami a konkrét esetben alaptalan). Lehet, hogy ők például nem a W2k3-at tartják a legjobbnak. Különböznek tőled. Tiszteletben kéne őket tartanod.
Én sem megyek a pcforum-ra szidni a Windows-t. Az index-re pedig nem kell feltétlenül hasonlítania a HUP-nak egy külön bejáratú totaw-vel.
Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.
Kiváncsi vagyok, hogy mit szólnál ahhoz, hogyha mindenki olyan stílusban beszélne veled, mint te másokkal.
Már rég nem diskuráltam veled. Most rászántam egy kis időt. Ne aggódj, ritkán van ez így.
Végül fogadj el egy életmód vezetési tanácsot: szokj le a dohányzásról, ha dohányzol. Ezzel elkerülhetsz egykésőbbi infarktust, amivel a végén még orvoshoz kéne fordulnod.
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
>> nem Nagypapára gondolok
a szintet megütöd
- A hozzászóláshoz be kell jelentkezni
> Kár, hogy a hiba egyes körökben már lassan 1 éve ismert és a hozzá tartozó exploit is.
Remélem azért nem a második világháború óta ismerik.
Tehát, még egyszer mondom, tanulj meg olvasni. A 'lassan 1 éve ismert' >< 'második világháború óta'.
Tudod más körökben pedig régóta ismert, javítatlan exploitok léteznek W alá...
Majd ha feltörik a Microsoft szerverét, akkor ezt szépen elmondhatod az erről szóló hírnél, most viszont továbbra se értem, hogy mi köze a Debian szerver feltörésével kapcsolatos cikkhez.
Nem lehet, hogy te anyázod folyamatosan a Windowst, anélkül, hogy bárki is szóba hozta volna rajtad kívül? Nagyapa 2.0 vagy, teljes egészében. Épp ezért is különös fintora a dolgoknak, hogy őt is megveted.
Valahogy az sosem szar nálad - a *BSD-kkel és a Linux-szal ellentétben.
ROTFL. Különösen vicces ezt olvasni úgy, hogy legfőképp *nix szerver admin vagyok... Lehet, hogy egyszerűen csak nem vagyok vakbuzgó fanatikus azzal az oprendszerrel amit használok?
Minden alkalmat kihasználsz, hogy a szóba kerülő összes oprendszert fikázd - kivéve a Windows-t.
Igen, Windowst/MS-t gyakran megvédem, mert sok az alaptalan vádaskodás és rágalmazás vele kapcsolatban, főleg a hozzád hasonló nagy szakértőknek köszönhetően.
Ellenben javaslom kereső használatát és annak ellenőrzését, hogy a több mint 4 év alatt én mennyi és milyen BSD-s híreket küldtem be a HUP-ra, majd ezt a műveletet legyél szíves megismételni a saját nickeddel szintén és elgondolkozni a látottakon.
Ne értsd félre, engem az nem zavar, hogy jobban szereted, mint a nyílt forráskódú szoftvereket.
Tetszik, hogy egyesek tudni vélik mit szeretek jobban.
De neked sem kéne meglepődnöd azon, hogyha másnak esetleg nem jön be a fikázásod (ami a konkrét esetben alaptalan).
Alaptalan? LOL. Mi is alaptalan egész pontosan?
Bizonyára PaXTeam is egy Windows/MS bérenc, hogy szintén ugyanígy látja a dolgokat...
> Látom a személyeskedő szöveget végülis sikerült kitörölnöd utólag, ennek legalább örülök.
Kiváncsi vagyok, hogy mit szólnál ahhoz, hogyha mindenki olyan stílusban beszélne veled, mint te másokkal.
Ha jól emlékszem nem én írtam majd gyorsan kitöröltem, hogy 'te még a szívritmus szabályzódra is win2k3-at telepítenél!'... Vagy igen?
Végül fogadj el egy életmód vezetési tanácsot: szokj le a dohányzásról, ha dohányzol. Ezzel elkerülhetsz egykésőbbi infarktust, amivel a végén még orvoshoz kéne fordulnod.
Ez biztos valami korházas vicc, amit én nem érthetek...
- A hozzászóláshoz be kell jelentkezni
Tehát, még egyszer mondom, tanulj meg olvasni. A 'lassan 1 éve ismert' >< 'második világháború óta'.
Szimpatikusan kerülöd a személyeskedést. Te valami eszméletlen nagy májer lehetsz.
Majd ha feltörik a Microsoft szerverét
Mert azt szerinted ugyanúgy meg fogjuk tudni.
továbbra se értem, hogy mi köze a Debian szerver
Nem mondm el még egyszer. Már leírtam a választ, csak nem akarod tudomásul venni.
te anyázod folyamatosan a Windowst
Hol anyáztam? Még csak rosszat se mondtam róla!
Nagyapa 2.0 vagy, teljes egészében. Épp ezért is különös fintora a dolgoknak, hogy őt is megveted.
Honnan veszed, hogy megvetem? Az is abban a mondatban van, amiben anyáztam a Windowst?
legfőképp *nix szerver admin vagyok...
Ezt tudom rólad, és emiatt is különösen érthetetlen a viselkedésed.
Lehet, hogy egyszerűen csak nem vagyok vakbuzgó fanatikus azzal az oprendszerrel amit használok?
Azért nálad van egy kivétel. Biztos fellélegzel, amikor egy hosszú munkanap végén a sok szar Unix után végre leülhetsz a mindennél biztonságosabb W2K3-ad elé.
Tetszik, hogy egyesek tudni vélik mit szeretek jobban.
Akkor úgy látszik, hogy rosszul fejezed ki magad, mert az összes hozzászólásod világosan kifejezi, hogy mit szeretsz igazán. Itt lenne az ideje egy nagy coming out-nak a pcforum-on.
több mint 4 év alatt én mennyi és milyen BSD-s híreket küldtem be a HUP-ra
Az hogy te BSD-s híreket publikálsz, az mire is jogosít fel pontosan, amit nekem (kisökörnek) nem szabad?
Mi is alaptalan egész pontosan?
Hogy szerinted a legutóbbi local root bug-ot nem jelentették be, meg nem készült belőle CVE, meg eltussolták, meg nem írták le a commit logban, hogy mennyire veszélyes is igazán, meg hogy mindenki aki nem fikázza a Linuxot, az imbecilis.
Bizonyára PaXTeam is egy Windows/MS bérenc
Köztetek van egy nagy különbség: PaXTeam már letett valamit az asztalra, ami javítja a biztonságot. Elismerem a tudását, és csak köszönni tudom az eddigi erőfeszítéseit. De ő mégse fröcsög és fikáz folyamatosan úgy, mint te...
Ha jól emlékszem nem én írtam majd gyorsan kitöröltem, hogy 'te még a szívritmus szabályzódra is win2k3-at telepítenél!'... Vagy igen?
Miért, nem?
Windowst/MS-t gyakran megvédem, mert sok az alaptalan vádaskodás és rágalmazás vele kapcsolatban
Én meg nem szoktam a Linux védelmére kelni, de most sajnos megtettem. Nem baj, legközelebb nem fog előfordulni.
Ez biztos valami korházas vicc, amit én nem érthetek.
Komolyan beszéltem, de úgy látszik nem érted.
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Köztetek van egy nagy különbség: PaXTeam már letett valamit az asztalra, ami javítja a biztonságot. Elismerem a tudását, és csak köszönni tudom az eddigi erőfeszítéseit.
Értem. Tehát bár mindketten ugyanazt mondjuk PaXTeammel, az ő véleményét elfogadod, az enyémet (amely ugye az övével azonos) meg alaptalan fikázásnak tartod. Gratulálok.
Gondoltál már rá, hogy hülyét csinálsz magadból? :)
- A hozzászóláshoz be kell jelentkezni
Értem. Tehát bár mindketten ugyanazt mondjuk PaXTeammel, az ő véleményét elfogadod, az enyémet (amely ugye az övével azonos) meg alaptalan fikázásnak tartod. Gratulálok.
Nem azt írtam, hogy köztetek csak ez az egy különbség van:
köztetek van egy nagy különbség >< köztetek csak egy különbség van
Biztos meg fogsz lepődni, de a Linux kernel security policy-ja nekem sem tetszik. Mint az a korábbi post-jaimből kitűnik, szerintem egy konkrét esetben alaptalan a fikázásod. Bár ezekre te úgy reagáltál, mintha nem értenéd, hogy mire gondolok. Meg terelni próbáltál.
Nem tartom a kritikádat alaptalannak. Paxteam korábban már vette fel a kontaktust kernel fejlesztőkkel security bug(ok) kapcsán, és rossz tapasztalatokat szerzett. Ugyanez tudtommal - javíts ki, ha rosszul tudom - rólad nem mondható el. Paxteam mégsem fikáz olyan elvakultan mint te.
Úgy érzem te mostmár csak azért se akarsz engem megérteni. Tényleg hülyét csinálok magamból, ha fölöslegesen írogatok neked tovább.
Szerintem ne húzzuk egymás idejét és ne koptassuk a klaviatúrát.
Üdv,
Dw.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Most te lettél az ügyeletes?
--------------
Sok ember hord Superman-pizsamát. Superman Chuck Norris-pizsamát hord.
- A hozzászóláshoz be kell jelentkezni
?
- A hozzászóláshoz be kell jelentkezni
Szemet M$$$-berenc naci.
- A hozzászóláshoz be kell jelentkezni
Kedves barátunktól bizonytalan - majd még eldöntöm mennyi - megszabadultunk. Accountja felfüggesztve egy időre.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Megártott neki ez a nagy meleg. Légy elnéző. :-)
- A hozzászóláshoz be kell jelentkezni
csak találtál ürügyet - sebaj, addig vígasztalódunk a szocializáció sokkal magasabb fokán álló dupalmodul-nagyapával vagy a szobaforradalmár rigidussal (visszasírjuk még a néhai anrt)
- A hozzászóláshoz be kell jelentkezni
Az utolsó 10 hozzászólása értékelhetetlen volt, ahogy azt mások megjegyezték. Majd ha nekik is az lesz, mehetnek utána. A felfüggesztés ideiglenes, és ezentúl is élni fogok vele. Elegem van az öncélú, exhibicionista fröcsögésekből. Lehetőleg ezt ne itt tárgyaljuk meg, ha gondod van, légyszíves nyiss neki topikot a fórumban.
Ja, és nem ürügyet, hanem okot.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
kezdek parazni LOAL
- A hozzászóláshoz be kell jelentkezni
Kosz trey, azt azert ebbol mindenki leszurte, hogy barkit lehet buntetlenul "M$ berencezni", de ha valaki poenbol ill. szarkazmus vegett megforditja, annak ban jar a blikken^H^H^H^H^Hhupon. Gut ;)
- A hozzászóláshoz be kell jelentkezni
En az utobbi idoben mar nagyon unom amit muvelsz.
Es valoszinuleg nem en voltam az egyetlen.
Neha belegondolok abba, hogy idejon egy naiv kezdo linuxos es azt latja, hogy ez a szuper nyilt forrasu kozosseg milyen "osszetarto", "egyseges" stb.
York.
------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."
- A hozzászóláshoz be kell jelentkezni
Hah, nem néztél még OBSD-levlistákat? n00b! :-P
- A hozzászóláshoz be kell jelentkezni
Jo a megalapitas:).
York.
------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."
- A hozzászóláshoz be kell jelentkezni
wow, ezt megaszondtad.
- A hozzászóláshoz be kell jelentkezni
van egy olyan erzesem, hogy csak az alkalomra vartal
- A hozzászóláshoz be kell jelentkezni
Régi szabály, hogy egy rendszergazdát ne bosszants. És lássuk be, a HUP Trey rendszere.
Ave, Saabi.
- A hozzászóláshoz be kell jelentkezni
Kar barkibol is martirt csinalni :-) Ez a felfuggesztes rossz lepes volt, lehet, hogy itt kielheti magat, de irl nincs ilyen, hogy felfuggesztem az accountot meg ignore...
- A hozzászóláshoz be kell jelentkezni
Fél óra ban-t kapott reggel gondolkozni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én nem értem. Hol itt a biztonság? No offense, de nem ismerem, hogy milyen userek férhettek hozzá, feltételezem azonban, hogy a rendszergazdák profik voltak...
- A hozzászóláshoz be kell jelentkezni
"Hol itt a biztonság?"
Az interneten? Ne bohóckodjunk kérem. :)
Aki az interneten szolgáltatást üzemeltet, annak számolnia kell azzal, hogy felnyomják. 100% biztonság nincs. Elég ha kijön amerikában nappal egy hiba, lehet, hogy mire felkelek és megtudom, meg amire befoltozom, addigra már fel is nyomtak. Ez benne van a pakliban.
Én azt mondom, hogy akit fel akarnak nyomni, azt előbb-utóbb fel is fogják. Meg lehet nehezíteni a dolgukat, de ők egy lépéssel mindig előbb járnak (nyilván előbb van hiba felismerés -> adott esetben exploit, és csak utána jön a hibajavítás).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Elég ha kijön amerikában nappal egy hiba, lehet, hogy mire felkelek és megtudom, meg amire befoltozom, addigra már fel is nyomtak.
Arról nem is beszélve, hogy lehet olyan hibát használnak ki, amely nem ismert és ezáltal nincs is rá javítás... ;)
- A hozzászóláshoz be kell jelentkezni
Jaja mindig ezzel josz!
Mutass mar egy ilyen ismeretlen hibat! ;)
York.
------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."
- A hozzászóláshoz be kell jelentkezni
speciel a minap javitott hibara mar egy eve volt exploit (nem is egy).
- A hozzászóláshoz be kell jelentkezni
Sokkal szerencsétlenebb dolog volna, ha a szerver luck.debian.org lenne... :)
- A hozzászóláshoz be kell jelentkezni
glück németül szerencse, boldogság
- A hozzászóláshoz be kell jelentkezni
ez viszont 'Gluck', ami nemetul, ugye, kotlostyukot jelent.
- A hozzászóláshoz be kell jelentkezni
Igazából arra vagyok kiváncsi, hogy mit backdooroltak, és mióta ha, backdooroltak. Sajnos pont tegnap apt-get updateltem az utóbbi két hétben először (persze lehet hogy mondjuk fél éve már backdoorolt egy alap package).
- A hozzászóláshoz be kell jelentkezni
Igen az eleg valoszinu, hogy a hatvanmillio debian user/admin kozul ne vette volna eszre valaki, hogy backdoor kerult a gepere egy alap deb repobol torteno update utan. :-) [kossetek bele a 60M-ba;)]
- A hozzászóláshoz be kell jelentkezni
Igen, mert te végigolvasod az összes bináris gépi kódot, amit a debian feltelepít, ugye?
Nyilvánvalóan nem vették volna még észre sem 60 millió usernél se, csak akkor ha elkezdik százával feltörni a debian gépeket a hibás csomag miatt.
- A hozzászóláshoz be kell jelentkezni
Naja. ;)
Egy ilyen volumenű backdoort egyébként is okosan kell kezelni, nem szabad ész nélkül nekiesni vele az internetnek... :P
Sok 0day exploit került már nyilvánosságra amiatt, mert nem körültekintően használták.
- A hozzászóláshoz be kell jelentkezni
> Sok 0day exploit került már nyilvánosságra amiatt, mert nem körültekintően használták.
Oh szegeny crackerek, hogy megcsappant azutan a hekkelheto gepek szama. :-D
- A hozzászóláshoz be kell jelentkezni
fogalomzavarod van
http://litch.eu/blog
http://gnaa.us
- A hozzászóláshoz be kell jelentkezni
Nem baj, en tudom mit akartam kifejezni.
- A hozzászóláshoz be kell jelentkezni
"Igen, mert te végigolvasod az összes bináris gépi kódot"
Checksum? Digitális aláírás? Máshol ez vidáman működik.
"Nyilvánvalóan nem vették volna még észre sem 60 millió usernél se, csak akkor ha elkezdik százával feltörni a debian gépeket a hibás csomag miatt."
Stable-nál probléma lehet, bár nem követem már egy ideje a Debian-t. Az etch-ben már állítolag lesz secure apt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Checksum? Digitális aláírás? Máshol ez vidáman működik.
A kérdés ilyen esetben mindig nyilván az, hogy a betörő az aláíráshoz szükséges privát kulcshoz nem szerzett-e hozzáférést, mert ha igen, akkor a backdooros csomagról ő is képes létrehozni érvényesnek tűnő aláírást. Checksum esetén pedig még privát kulcsra sincs szükség, ugye... ;)
- A hozzászóláshoz be kell jelentkezni
"Checksum? Digitális aláírás? Máshol ez vidáman működik."
Ha megtöröd a fejlesztői gépet, akkor 1. lehet hogy megszerzed a digitális aláírást, de sokkal egyszerűbb ha csak hagyod, hogy végigmenjen a procedúra normálisan, egy új verzió kijövetele során (ami persze tartalmazza a rosszindulatú kódot is), és akkor szépen fogja a debianos emberke és aláírja.
- A hozzászóláshoz be kell jelentkezni
"Igen, mert te végigolvasod az összes bináris gépi kódot"
Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást". Úgy láttam, hogy neked ez nem annyira egyértelmű. Abban egyetértünk, hogy minden biztonsági megoldás annyit ér, amennyire betartják a biztosnági előírásokat.
"Ha megtöröd a fejlesztői gépet, akkor 1. lehet hogy megszerzed a digitális aláírást,"
Jah, ha ellopod valakinek a hitelkártyáját, lehet, hogy alkoholos filccel rá van írva a PIN kód. Az ég kék, a víz nedves ...
"de sokkal egyszerűbb ha csak hagyod, hogy végigmenjen a procedúra normálisan, egy új verzió kijövetele során (ami persze tartalmazza a rosszindulatú kódot is), és akkor szépen fogja a debianos emberke és aláírja."
Ott is checksum-olnak. Nem hiszem, hogy erre nagy esély lenne. Elvileg elképzelhető. De ez nem zárható ki egyetlen más projekt, operációs rendszer, vagy bármilyen program esetében sem. Lásd OpenSSH backdoor. Érdekes módon azt egy checksum ellenőrzés "fogta meg".
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Lásd OpenSSH backdoor. Érdekes módon azt egy checksum ellenőrzés "fogta meg".
Elég nagy lúzer is volt a haxor, hogy a hash filet elfelejtette lecserélni... ;DD
- A hozzászóláshoz be kell jelentkezni
"Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást"."
Ez hülyeség. Itt nem a feleslegességről van szó, hanem arról, hogy mennyire lehet megbízni most egy konkrét debian csomagban. A hatvanmillió user példára írtam, hogy nyilván nem fogják a bináris kódot végigolvasni az emberek. Ez egyébként nem lenne felesleges, csak nem praktikus.
A végigolvasás feleslegessége alapvetően attól függ, hogy mennyire bízol meg azt ezt kiváltó procedúrákban. Én általában megbíznék egy debiantól jövő aláírt, checksumolt csomagban, ha most épp nem törték volna fel a fejlesztői szerverüket. Nyilván én is ismerem az általában használt technikákat, te azt nem érted meg, hogy ez most miért nem tekinthető elegendő védelemnek.
"Ott is checksum-olnak."
Mit checksumolnak? Azon a gondolatmeneten, hogy a debian csomagfelelős lefordítja az új verzióját x csomagnak, checksumolja, majd elmegy aludni, jön a crackerünk, megpatcheli a forrást, lefordítja a rootolt kódot, legenerálja újra a checksumot, másnap fogja a fejlesztő és normál procedúrával kitolja a csomagot benne a rootkittel, mit nem lehet érteni? Ha akár minden lépést checksumolnak és mondjuk komplikálják a procedúrát, akkor is meg tudja backdoorolni a csomagot a crackerünk, ha akarja és nem hülye. Alapvetően a tényállás az, hogy ő (is) uralja a rendszert és bármi ami onnan jön, not-to-be trusted.
Itt nem elvi eshetőségről beszélünk, hanem arról, hogy felfedezték, hogy megtörték a debian fejlesztői szervert, és annak lehetséges következményeiről.
Egyébként nyugodtan fogalmazz barátságosabb stílusban, nem kell így nekem esni...
- A hozzászóláshoz be kell jelentkezni
Én meg arról beszéltem, hogy felfedezték, hogy megtörték az OpenBSD ftp szervert, backdoor-t tettek az OpenSSH-ba, és mégis user fedezte fel és jelentette a backdoor-t. Ebben az esetben működött a checksum. Lám, a világ látott már ilyet is. Ez nem fikció, hanem megtörtént eset.
A checksum kombinálva digitális aláírással és egyéb dolgokkal valamilyen védelmet nyújthat. Nyilván, különben nem használnák.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
... felfedezték, hogy megtörték az OpenBSD ftp szervert, backdoor-t tettek az OpenSSH-ba, és mégis user fedezte fel és jelentette a backdoor-t. ... Ez ... megtörtént eset.
Erről hol lehet részletesebben olvasni?
- A hozzászóláshoz be kell jelentkezni
Pl. itt.
- A hozzászóláshoz be kell jelentkezni
... a nők meg titkolóznak ;-)
- A hozzászóláshoz be kell jelentkezni
- Te egy senki vagy.
- Pszt! Másnak ne mondd!
:-D
- A hozzászóláshoz be kell jelentkezni
Fej vagy gyomor? ;-)
--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!
- A hozzászóláshoz be kell jelentkezni
A szőrmók azt gondolja: régen borzoltatok puha p...szőrt. :-)
- A hozzászóláshoz be kell jelentkezni
"az utolso 10 hozzaszolasa ertekelhetetlen volt" (c) trey
- A hozzászóláshoz be kell jelentkezni
13:45-től 2,5 órára kirakhat, ha gondolja, úgyis vonaton fogok ülni, és aludni. :-)
- A hozzászóláshoz be kell jelentkezni
lehet hogy a te 10 hozzászólásaodban szereplő tartalommal szemben a tiedet megelező hozzászólásban szereplő dolgot nem tartja zavarónak :)
- A hozzászóláshoz be kell jelentkezni
Kerem ertelmezze.
- A hozzászóláshoz be kell jelentkezni
Ejj-ejj, már megint egy értékelhetetlen hozzászólás...
Szerintem változtass nicket ban joe-ra (vagy bendzsóra :).
Jaj. =)
- A hozzászóláshoz be kell jelentkezni
DEBIAN BINARY BLOB
- A hozzászóláshoz be kell jelentkezni